華為云企業(yè)主機(jī)安全HSS如何攔截賬戶暴力破解？

攔截范圍

HSS可攔截的攻擊類型包括：mysql、mssql、vsftp、filezilla、serv-u、ssh、rdp。

若您的服務(wù)器上安裝了mysql或者vsftp，開啟主機(jī)安全防護(hù)之后，Agent會在iptables里面新增一些規(guī)則，用于mysql/vsftp爆破防護(hù)。當(dāng)檢測到爆破行為后會將爆破IP加入到阻斷列表里面，新增的規(guī)則如圖1所示。

圖1 新增規(guī)則

須知：

不建議刪除已添加的iptables規(guī)則，若刪除iptables規(guī)則，HSS將無法防護(hù)mysql/vsftp被暴力破解。

賬戶破解攔截原理

暴力破解是一種常見的入侵攻擊行為，通過暴力破解或猜解主機(jī)密碼，從而獲得主機(jī)的控制權(quán)限，會嚴(yán)重危害主機(jī)的安全。

通過暴力破解檢測算法和全網(wǎng)IP黑名單，若發(fā)現(xiàn)暴力破解主機(jī)的行為，HSS會對發(fā)起攻擊的源IP進(jìn)行攔截，SSH類型攻擊默認(rèn)攔截12小時(shí)，其他類型攻擊默認(rèn)攔截24小時(shí)。若被攔截的IP在默認(rèn)攔截時(shí)間內(nèi)沒有再繼續(xù)攻擊，系統(tǒng)自動解除攔截。同時(shí)HSS支持雙因子認(rèn)證功能，雙重認(rèn)證用戶身份，有效阻止攻擊者對主機(jī)賬號的破解行為。

您可以配置常用登錄IP、配置SSH登錄IP白名單，常用登錄IP、SSH登錄IP白名單中的IP登錄行為不會被攔截。

說明：

使用鯤鵬計(jì)算EulerOS（EulerOS with ARM）的主機(jī)，在遭受SSH賬戶破解攻擊時(shí)，HSS不會對攻擊IP進(jìn)行攔截，僅支持對攻擊行為進(jìn)行告警；SSH登錄IP白名單功能也對其不生效。

告警策略

• 如果黑客暴力破解密碼成功，且成功登錄您的服務(wù)器，會立即發(fā)送實(shí)時(shí)告警通知用戶。

• 如果檢測到暴力破解攻擊并且評估認(rèn)為賬戶存在被破解的風(fēng)險(xiǎn)，會立即發(fā)送實(shí)時(shí)告警通知用戶。

• 如果該次暴力破解沒有成功，主機(jī)上也沒有已知風(fēng)險(xiǎn)項(xiàng)（不存在弱口令），評估認(rèn)為賬戶沒有被破解的風(fēng)險(xiǎn)時(shí)，不會發(fā)送實(shí)時(shí)告警。企業(yè)主機(jī)安全服務(wù)會在每天發(fā)送一次的每日告警信息中通告當(dāng)日攻擊事件數(shù)量。您也可以登錄企業(yè)主機(jī)安全控制臺入侵檢測頁面實(shí)時(shí)查看攔截信息。

查看賬戶破解檢測結(jié)果

1. 登錄管理控制臺。

2. 在頁面左上角選擇“區(qū)域”，單擊，選擇“安全 > 企業(yè)主機(jī)安全”，進(jìn)入企業(yè)主機(jī)安全頁面。

   圖2 企業(yè)主機(jī)安全
   

3. 進(jìn)入“賬戶暴力破解”頁面，查看已防護(hù)的服務(wù)器上的暴力破解攔截記錄，如圖3所示。

   圖3 賬戶破解防護(hù)
   

4. 單擊“已攔截IP”，可查看已攔截的攻擊源IP、攻擊類型、攔截次數(shù)、開始攔截時(shí)間和最近攔截時(shí)間，以及攔截狀態(tài)。

• 已攔截：表示該暴力破解行為已被HSS成功攔截。

• 已解除：表示您已解除對該暴力破解行為的攔截。

說明：

• SSH類型攻擊默認(rèn)攔截12小時(shí)，其他類型攻擊默認(rèn)攔截24小時(shí)。若被攔截的IP在默認(rèn)攔截時(shí)間內(nèi)沒有再繼續(xù)攻擊，系統(tǒng)自動解除攔截。

處理攔截IP

• 如果發(fā)現(xiàn)某個(gè)主機(jī)被頻繁攻擊，需要引起重視，建議及時(shí)修補(bǔ)漏洞，處理風(fēng)險(xiǎn)項(xiàng)。

  建議開啟雙因子認(rèn)證功能，并配置常用登錄IP、配置SSH登錄IP白名單。

• 如果發(fā)現(xiàn)有合法IP被誤封禁（比如運(yùn)維人員因?yàn)橛涘e(cuò)密碼，多次輸錯(cuò)密碼導(dǎo)致被封禁），可以手動解除攔截IP。

須知：

• 若您手動解除被攔截的可信IP，僅可以解除本次HSS對該IP的攔截。若再次發(fā)生多次密碼輸錯(cuò)，該IP會再次被HSS攔截。