一、简介
云上服务器如存在高危系统组件漏洞、关键系统配置不当,很容易被黑客攻击进而可能导致服务器资源被抢占、敏感信息泄露、对外攻击等严重后果。“主机安全”作为保卫服务器安全的最后一道防线,目前建立了一套事前事中事后的全生命周期防护体系:“预防→防御→检测→响应”。
以弱密码“暴力破解”为例,根据腾讯云平台监测数据,作为云上服务器日常最常见的攻击手段,腾讯云上所有主机每日遭受到来自外部亿级的暴力破解攻击尝试。
二、案例分析
从客户第一视角来模拟真实案例,如下:
实时检测告警
我们在收到了第一条“暴力破解成功事件通知”站内信通知之后,紧接着收到第二条站内信通知,如图1、图2所示:
图1
图2通过主机安全站内信告警信息,我们按照告警提示,登录到了主机安全控制台,发现被告警服务器172.xx.x.11已于2020-10-01 03:32:23 被成功暴力破解(由于专业版到期未续费导致自动阻断功能未生效),并产生了一条异常登录记录,如图3、图4所示。
(注:主机安全控制台链接:https://console.cloud.tencent.com/cwp)
图3
图4溯源分析
通过暴力破解成功记录,我们已经能确认是由于系统内的root账户使用了弱口令被攻破导致被入侵的。
我们通过点击“安全基线”,也可以看到,这个弱口令已于2020年8月28日被检出,可能由于该服务器的使用者修复不到位或者未进行修复,这个安全问题一直存在,直到2020年10月1日被攻击者攻破。
图5预防思路:重视主机安全的漏洞/基线告警,并及时修复。
方法:
通过点击“漏洞管理”功能与“基线管理”功能中的“一键检测”,对所有专业版机器进行检测。
图6注意:
漏洞/基线功能,仅在第一次“试用检测”的时候才能对主机安全基础版服务器进行扫描,后续仅支持对主机安全专业版服务器扫描。
主机安全基础版与专业版的功能比较,详见:
https://cloud.tencent.com/document/product/296/2222
三、告警配置介绍
通过主机安全控制台中的“设置中心”->“告警设置”功能,可以配置事件的告警开关以及告警时间段。
图7注:主机安全的告警渠道使用的是腾讯云公共设置(站内信、邮件、短信、微信、企业微信、语音等),地址:https://console.cloud.tencent.com/message/subscription
四、主机安全安装方式
方法1:在新建服务器的时候,通过勾选“安全加固”默认安装
图8方法2:根据主机安全控制台的指引进行安装
https://console.cloud.tencent.com/cwp/asset/machine/install/window
图9方法3:根据主机安全官网文档指引进行安装
https://cloud.tencent.com/document/product/296/12236
五、总结
云上服务器由于具备独立外网IP,可以直接被任意来源IP访问,因此每天会受到大量的外网攻击,建议做好以下3点基本防范:
1、设置较为严格的组策略,禁止非必要来源IP的访问;
2、使用ssh-key密钥登录方式替代口令登录;
3、尽快修复主机安全告警的漏洞/基线问题;
(开通主机安全专业版,开启暴力破解自动阻断功能,确保主机不被暴力破解攻陷。)
