【安全通知】安全事件解析之暴力破解篇

一、简介

云上服务器如存在高危系统组件漏洞、关键系统配置不当，很容易被黑客攻击进而可能导致服务器资源被抢占、敏感信息泄露、对外攻击等严重后果。“主机安全”作为保卫服务器安全的最后一道防线，目前建立了一套事前事中事后的全生命周期防护体系：“预防→防御→检测→响应”。

以弱密码“暴力破解”为例，根据腾讯云平台监测数据，作为云上服务器日常最常见的攻击手段，腾讯云上所有主机每日遭受到来自外部亿级的暴力破解攻击尝试。

二、案例分析

从客户第一视角来模拟真实案例，如下：

实时检测告警

我们在收到了第一条“暴力破解成功事件通知”站内信通知之后，紧接着收到第二条站内信通知，如图1、图2所示：

图1

图2

通过主机安全站内信告警信息，我们按照告警提示，登录到了主机安全控制台，发现被告警服务器172.xx.x.11已于2020-10-01 03:32:23 被成功暴力破解（由于专业版到期未续费导致自动阻断功能未生效），并产生了一条异常登录记录，如图3、图4所示。

（注：主机安全控制台链接：https://console.cloud.tencent.com/cwp）

图3

图4

溯源分析

通过暴力破解成功记录，我们已经能确认是由于系统内的root账户使用了弱口令被攻破导致被入侵的。

我们通过点击“安全基线”，也可以看到，这个弱口令已于2020年8月28日被检出，可能由于该服务器的使用者修复不到位或者未进行修复，这个安全问题一直存在，直到2020年10月1日被攻击者攻破。

图5

预防思路：重视主机安全的漏洞/基线告警，并及时修复。

方法：

通过点击“漏洞管理”功能与“基线管理”功能中的“一键检测”，对所有专业版机器进行检测。

图6

注意：

漏洞/基线功能，仅在第一次“试用检测”的时候才能对主机安全基础版服务器进行扫描，后续仅支持对主机安全专业版服务器扫描。

主机安全基础版与专业版的功能比较，详见：

https://cloud.tencent.com/document/product/296/2222

三、告警配置介绍

通过主机安全控制台中的“设置中心”->“告警设置”功能，可以配置事件的告警开关以及告警时间段。

图7

注：主机安全的告警渠道使用的是腾讯云公共设置（站内信、邮件、短信、微信、企业微信、语音等），地址：https://console.cloud.tencent.com/message/subscription

四、主机安全安装方式

方法1：在新建服务器的时候，通过勾选“安全加固”默认安装

图8

方法2：根据主机安全控制台的指引进行安装

https://console.cloud.tencent.com/cwp/asset/machine/install/window

图9

方法3：根据主机安全官网文档指引进行安装

https://cloud.tencent.com/document/product/296/12236

五、总结

云上服务器由于具备独立外网IP，可以直接被任意来源IP访问，因此每天会受到大量的外网攻击，建议做好以下3点基本防范：

1、设置较为严格的组策略，禁止非必要来源IP的访问；

2、使用ssh-key密钥登录方式替代口令登录；

3、尽快修复主机安全告警的漏洞/基线问题；

（开通主机安全专业版，开启暴力破解自动阻断功能，确保主机不被暴力破解攻陷。）