Windows应急响应Day1：FTP暴力破解

前言：

FTP是一个文件传输协议，用户通过FTP可以从客户机程序向远程主机上传或下载主机，常用于网站代码维护，日常源码备份等。如果攻击者通过FTP匿名访问或者弱口令获取FTP权限，可直接上传webshell，进一步渗透提权，直至控制整个网站服务器。

应急场景

网站响应速度变慢，网站上的服务器登录非常卡，重启服务器就只能保持一段时间的正常访问，网站响应速度不稳定，针对网站服务器的异常，系统日志和网站日志需要分析排查。查看Windows安全日志，发现了大量的登录失败记录：

安全日志分析：

运行:eventvwr.msc打开时间查看器，点击Windows日志，选择安全。

安全日志记录着事件审计信息，包括用户验证（登录，远程访问等）和特定用户认证后对系统做了什么。

打开安全日志，在右边点击筛选当前日志，在事件ID填入4625，查询到事件ID4625，事件数17707，从这个数据可以得知，服务器正在遭受暴力破解。

进一步使用Log Parser对日志提权数据分析，发现攻击者使用了大量用户名进行爆破，共进行了17826次口令尝试，攻击者基于"xxxx"这样的一个域名信息，构造了一系列的用户名字典进行有针对性的爆破。

注意到登录类型是8，这意味着：网络明文(Networkcleartext)

这种登录表名是一个像类型3一样的网络登录，但是这种登录的密码在网络上是通过明文传输的。WindowsServer服务是不允许通过明文验证连接到共享文件或者打印机的，查询知只有当从一个使用Advapi 的Asp脚本登录或者一个用户使用基本验证方式登录IIS才会是这样的登录类型。“登录过程”栏都将列出Advapi。

推测是FTP服务，通过查看端口服务及管理员访谈，确认服务器对公网开放了FTP服务。

netstat -ano

这里使用Wireshark对捕获到的流量进行分析，获取到正在进行爆破的IP。

通过这段时间管理员登陆日志进行分析，如下：

管理员登录正常，并未发现异常登录时间和异常IP。这里登录类型10，代表远程管理桌面登录。

另外，通过查看FTP站点，发现只有一个测试文件，与站点目录并不在同一个目录下面，这说明FTP暴力破解没有成功。

应急措施：1.关闭外网FTP端口映射 2.删除本地服务器FTP测试

处理措施

​FTP暴力破解依然十分普遍，如何保护服务器不受暴力破解攻击，总结了几种措施：

1.禁止使用FTP传输文件，若必须开放应限定管理IP地址并加强口令安全审计（口令长度不低于8位，由数字、大小写字母、特殊字符等至少两种以上组合构成）。 2.更改服务器FTP默认端口。 3.部署入侵检测设备，增强安全防护。