【安全通知】安全事件解析之暴力破解篇

2020-11-03 17:13:38 浏览数 (2)

一、简介

云上服务器如存在高危系统组件漏洞、关键系统配置不当,很容易被黑客攻击进而可能导致服务器资源被抢占、敏感信息泄露、对外攻击等严重后果。“主机安全”作为保卫服务器安全的最后一道防线,目前建立了一套事前事中事后的全生命周期防护体系:“预防→防御→检测→响应”。

以弱密码“暴力破解”为例,根据腾讯云平台监测数据,作为云上服务器日常最常见的攻击手段,腾讯云上所有主机每日遭受到来自外部亿级的暴力破解攻击尝试。

二、案例分析

从客户第一视角来模拟真实案例,如下:

实时检测告警

我们在收到了第一条“暴力破解成功事件通知”站内信通知之后,紧接着收到第二条站内信通知,如图1、图2所示:

图1图1
图2图2

通过主机安全站内信告警信息,我们按照告警提示,登录到了主机安全控制台,发现被告警服务器172.xx.x.11已于2020-10-01 03:32:23 被成功暴力破解(由于专业版到期未续费导致自动阻断功能未生效),并产生了一条异常登录记录,如图3、图4所示。

(注:主机安全控制台链接:https://console.cloud.tencent.com/cwp)

图3图3
图4图4

溯源分析

通过暴力破解成功记录,我们已经能确认是由于系统内的root账户使用了弱口令被攻破导致被入侵的。

我们通过点击“安全基线”,也可以看到,这个弱口令已于2020年8月28日被检出,可能由于该服务器的使用者修复不到位或者未进行修复,这个安全问题一直存在,直到2020年10月1日被攻击者攻破。

图5图5

预防思路:重视主机安全的漏洞/基线告警,并及时修复。

方法:

通过点击“漏洞管理”功能与“基线管理”功能中的“一键检测”,对所有专业版机器进行检测。

图6图6

注意:

漏洞/基线功能,仅在第一次“试用检测”的时候才能对主机安全基础版服务器进行扫描,后续仅支持对主机安全专业版服务器扫描。

主机安全基础版与专业版的功能比较,详见:

https://cloud.tencent.com/document/product/296/2222

三、告警配置介绍

通过主机安全控制台中的“设置中心”->“告警设置”功能,可以配置事件的告警开关以及告警时间段。

图7图7

注:主机安全的告警渠道使用的是腾讯云公共设置(站内信、邮件、短信、微信、企业微信、语音等),地址:https://console.cloud.tencent.com/message/subscription

四、主机安全安装方式

方法1:在新建服务器的时候,通过勾选“安全加固”默认安装

图8图8

方法2:根据主机安全控制台的指引进行安装

https://console.cloud.tencent.com/cwp/asset/machine/install/window

图9图9

方法3:根据主机安全官网文档指引进行安装

https://cloud.tencent.com/document/product/296/12236

五、总结

云上服务器由于具备独立外网IP,可以直接被任意来源IP访问,因此每天会受到大量的外网攻击,建议做好以下3点基本防范:

1、设置较为严格的组策略,禁止非必要来源IP的访问;

2、使用ssh-key密钥登录方式替代口令登录;

3、尽快修复主机安全告警的漏洞/基线问题;

(开通主机安全专业版,开启暴力破解自动阻断功能,确保主机不被暴力破解攻陷。)

0 人点赞