華為云企業(yè)主機(jī)安全|賬戶被暴力破解，怎么辦？

• 若您的主機(jī)被暴力破解成功，攻擊者很可能已經(jīng)入侵并登錄您的主機(jī)，竊取用戶數(shù)據(jù)、勒索加密、植入挖礦程序、DDoS木馬攻擊等惡意操作。

• 若您的主機(jī)被嘗試暴力破解，攻擊源IP被HSS攔截，請(qǐng)及時(shí)采取有效的措施預(yù)防賬戶暴力破解事件。

排查思路

以下排查思路按照收到賬戶暴力破解告警通知的狀態(tài)進(jìn)行逐層細(xì)化，您可以根據(jù)賬戶暴力破解的實(shí)際情況選擇對(duì)應(yīng)的分支進(jìn)行排查。

圖1 排查思路

賬戶被暴力破解，攻擊源IP已成功登錄

若您收到賬戶暴力破解成功的告警信息，例如“【賬戶被爆破告警】企業(yè)主機(jī)安全服務(wù)當(dāng)前檢測(cè)到您XX區(qū)域的云服務(wù)器XX的賬戶被破解，已成功登錄：攻擊源IP：10.108.1.1，攻擊類型：ssh”，則說(shuō)明您的主機(jī)被暴力破解成功，建議您盡快加固您的主機(jī)安全。

1. 登錄管理控制臺(tái)。

2. 在頁(yè)面左上角選擇“區(qū)域”，單擊，選擇“安全 > 企業(yè)主機(jī)安全”，進(jìn)入企業(yè)主機(jī)安全頁(yè)面。

   圖2 企業(yè)主機(jī)安全
   

3. 判斷源IP的合法性。

   選擇“入侵檢測(cè) > 事件管理”頁(yè)面，進(jìn)入“賬戶異常登錄”頁(yè)面，查看成功登錄主機(jī)的源IP是否為合法IP。

   圖3 賬戶異常登錄
   

• 若源IP合法（多次輸錯(cuò)口令，但未達(dá)到攔截IP條件，成功登錄），您可以單擊“處理”，忽略該事件。

• 若源IP不合法，是未知IP，那么您主機(jī)系統(tǒng)已經(jīng)被入侵成功。

  請(qǐng)單擊該事件并標(biāo)記為“手動(dòng)處理”，并登錄被攻擊的主機(jī)，盡快修改該主機(jī)的系統(tǒng)賬戶口令，口令設(shè)置方法請(qǐng)參見(jiàn)如何設(shè)置安全的口令？

4. 排查并處理惡意程序。

   選擇“惡意程序（云查殺）”排查系統(tǒng)是否被植入了惡意程序。

   圖4 惡意程序（云查殺）
   

• 若被植入了惡意程序，請(qǐng)根據(jù)檢測(cè)結(jié)果中提示的“惡意程序路徑”、“運(yùn)行用戶”、“程序啟動(dòng)時(shí)間”等信息，分析、判斷哪些確實(shí)是惡意程序。

  針對(duì)惡意程序，單擊惡意程序告警事件，并單擊“處理”，選擇“隔離查殺”，立即終止惡意程序進(jìn)程。

• 若沒(méi)有被植入惡意程序，請(qǐng)執(zhí)行步驟 5。

5. 排查并處理可疑賬號(hào)。

   選擇“風(fēng)險(xiǎn)預(yù)防 > 賬號(hào)信息管理”，排查并處理系統(tǒng)中的可疑賬號(hào)，防止攻擊者創(chuàng)建新的賬戶或更改賬戶權(quán)限（例如：將某個(gè)原來(lái)不具備登錄權(quán)限的賬戶修改為具備登錄權(quán)限），詳細(xì)信息請(qǐng)參見(jiàn)賬號(hào)信息管理。

6. 排查并處理風(fēng)險(xiǎn)賬戶。

   選擇“入侵檢測(cè) > 事件管理”中的“風(fēng)險(xiǎn)賬戶”排查所有系統(tǒng)賬戶，對(duì)風(fēng)險(xiǎn)賬戶進(jìn)行處理，詳細(xì)信息請(qǐng)參見(jiàn)處理風(fēng)險(xiǎn)賬號(hào)。

7. 使用基線檢查功能進(jìn)行風(fēng)險(xiǎn)檢測(cè)，并根據(jù)建議處理風(fēng)險(xiǎn)項(xiàng)。

   檢測(cè)主機(jī)中的口令復(fù)雜度策略，關(guān)鍵軟件中含有風(fēng)險(xiǎn)的配置信息，詳細(xì)信息請(qǐng)參見(jiàn)基線檢查。

8. 加固您的服務(wù)器安全。

   Linux主機(jī)SSH登錄的安全加固，詳細(xì)信息請(qǐng)參見(jiàn)Linux云服務(wù)器SSH登錄的安全加固。

賬戶被嘗試破解，攻擊源IP被攔截

若30秒內(nèi)，賬戶暴力破解次數(shù)達(dá)到5次及以上，或者3600秒內(nèi)，賬戶暴力破解次數(shù)達(dá)到15次及以上，HSS就會(huì)攔截該源IP，禁止其再次登錄，防止主機(jī)因賬戶破解被入侵，請(qǐng)及時(shí)確認(rèn)該源IP是否為可信IP。

約束與限制

• Linux操作系統(tǒng)

  使用鯤鵬計(jì)算EulerOS（EulerOS with ARM）的主機(jī)，在遭受SSH賬戶破解攻擊時(shí)，HSS不會(huì)對(duì)攻擊IP進(jìn)行攔截，僅支持對(duì)攻擊行為進(jìn)行告警。

• Windows操作系統(tǒng)

• 開(kāi)啟主機(jī)防護(hù)時(shí)，需要授權(quán)開(kāi)啟Windows防火墻，且使用企業(yè)主機(jī)安全服務(wù)期間請(qǐng)勿關(guān)閉Windows防火墻。若關(guān)閉Windows防火墻，HSS無(wú)法攔截賬戶暴力破解的攻擊源IP。

• 通過(guò)手動(dòng)開(kāi)啟Windows防火墻，也可能導(dǎo)致HSS不能攔截賬戶暴力破解的攻擊源IP。

操作步驟

1. 登錄管理控制臺(tái)。

2. 在頁(yè)面左上角選擇“區(qū)域”，單擊，選擇“安全 > 企業(yè)主機(jī)安全”，進(jìn)入企業(yè)主機(jī)安全頁(yè)面。

   圖5 企業(yè)主機(jī)安全
   

   
   

3. 選擇“入侵檢測(cè) > 事件管理”，選擇“賬戶暴力破解”，查看賬戶暴力破解事件。

   出現(xiàn)賬戶暴力破解告警事件，說(shuō)明您的主機(jī)可能存在被暴力破解風(fēng)險(xiǎn)。

   圖6 賬戶暴力破解事件
   

• 系統(tǒng)存在弱口令，同時(shí)正在遭受暴力破解攻擊，攻擊IP被攔截。

• 數(shù)次口令輸錯(cuò)后，源IP被攔截。

4. 建議您立即確認(rèn)源IP是否是已知的合法IP。

• 選擇賬戶暴力破解事件，單擊“處理”，并標(biāo)記為“忽略””或者“加入告警白名單”。

  將該事件“忽略”或者“加入告警白名單”，均不會(huì)解除攔截的IP。

• 若需要解除攔截的IP，請(qǐng)單擊“已攔截IP”，立即解除攔截的IP，或者當(dāng)HSS檢測(cè)到超過(guò)默認(rèn)攔截時(shí)間后，主機(jī)不再被暴力破解攻擊，將會(huì)自動(dòng)解除攔截。

  SSH類型攻擊默認(rèn)攔截12小時(shí)，其他類型攻擊默認(rèn)攔截24小時(shí)。

• 若源IP合法。

• 若源IP不合法，是未知IP。

  請(qǐng)選擇發(fā)生的賬戶暴力破解事件，單擊“處理”，并標(biāo)記為“手動(dòng)處理””。

  立即登錄主機(jī)系統(tǒng)，修改并設(shè)置安全的賬戶密碼，并加固您的主機(jī)安全。