本文档将向您介绍如何配置和使用密码破解监测功能,以提高系统的安全性。
概述
限制说明
监控范围:监控基础版/专业版/旗舰版主机(Linux 系统及 Windows 系统)关于 SSH 协议/RDP 协议的登录行为。
检测规则及阻断模式:各防护版本关于密码破解行为的判断规则及阻断范围不同,见下表。
主机安全防护版本 | 检测规则 | 阻断模式 |
基础版 | 情报规则:基于腾讯安全威胁情报库,为您综合进行黑IP推荐,当命中对应黑IP时,将判定为密码破解行为。 检测规则:命中下述任一登录规则时,将判定为密码破解行为。  说明: 基础版默认检测规则仅上图三条,不支持新增和修改。 若因付费版本到期回退基础版,原设置的检测规则仍生效,但不支持新增和修改。 | 基础阻断,即仅针对威胁情报黑 IP 的密码破解行为进行阻断,默认阻断5分钟。 说明: 若因付费版本到期回退基础版,阻断模式将自动切换为基础阻断。 |
专业版/旗舰版 | 包含上述情报规则及检测规则(检测规则支持新增和修改) | 高级阻断,即结合腾讯安全库对黑 IP 及命中检测规则的密码破解行为进行阻断。 |
iptable 规则:开启阻断后,当监测到主机存在密码破解行为时,来源 IP 会自动添加到 iptables 规则中。
密码破解设置
1. 登录 主机安全控制台,在左侧导航中,选择入侵检测 > 密码破解。
2. 单击设置,对密码破解行为的判定规则及阻断规则进行设置。
3. 确认无误后,单击保存。
配置白名单
配置白名单后,属于白名单来源 IP 的密码破解行为将不会被阻断与告警,操作步骤如下:
1. 登录 主机安全控制台,在左侧导航中,选择入侵检测 > 密码破解。
2. 在密码破解页面,单击白名单管理,进入白名单管理页面。
3. 在白名单管理页面,单击添加白名单,进入创建白名单页面中。
4. 在新增白名单页面中,填写来源 IP 及生效范围。
注意
添加白名单后,该来源 IP 的密码破解行为将不会被阻断与告警,请慎重操作。若有非白名单来源 IP 尝试登录,并命中暴力破解规则时,系统将自动发出异常告警或阻断。
参数说明:
来源 IP:支持填写单个 IP、IP 范围(如1.1.1.1-1.1.1.10)或 IP 段(如1.1.1.0/24)。
生效范围:
全部服务器(请谨慎选择):将对用户 AppID 下所有服务器添加信任该白名单条件。
自定义服务器范围:自定义选择添加信任该白名单条件的服务器范围。
备注:建议您输入相关规则备注。
查看密码破解事件
字段说明:
服务器 IP/名称 :当前被暴力破解的服务器。
来源 IP:攻击来源 IP 地址。
来源地:攻击来源 IP 所在地域。
协议:攻击者通过的协议,含 ssh/rdp。
登录用户名:攻击者登录使用的用户名。
端口:攻击者登录使用的端口。
首次攻击时间:主机安全首次监控到密码破解行为的时间。
最近攻击时间:该事件最近再次发生的时间。
攻击时间:攻击者发起暴力破解时间。
尝试次数:攻击 IP 尝试暴力破解的次数统计。
破解状态:当前服务器被暴力破解成功或失败说明。
阻断状态:针对本次攻击的自动阻断成功或未阻断说明。
操作:
升级版本:当前服务器为升级为专业版主机安全,可单击升级版本进行升级。
加入白名单:当出现错误阻断时,可以单击加入白名单立即解除阻断。
删除记录:支持删除该事件,删除记录后将不再显示该记录。
开启告警通知
告警处理
1. 当用户接收密码破解事件告警时,登录 主机安全控制台,在左侧导航中,选择入侵检测 > 密码破解。
2. 查看告警事件列表中的对应攻击来源 IP。
若确认是可信来源 IP,用户需在该事件右侧操作栏中,单击处理 > 加入白名单,设置加白名单条件和生效范围(请用户谨慎添加白名单)。配置成功后,预计5分钟内生效,后续来自该来源 IP 的密码破解行为将不再进行告警或者阻断。
若确认是不可信来源 IP,且服务器已被攻击者密码破解成功。
2.1.1 首先确认当前服务器的主机安全是否已升级为专业版或旗舰版,若未升级为专业版或旗舰版,建议用户在该事件右侧操作栏中,单击升级版本,升级为专业版或旗舰版主机安全。
2.1.2 在密码破解页面上方,开启自动阻断开关,推荐选择标准阻断模式,后续来自该攻击来源 IP 将会自动阻断,默认阻断时长15分钟,用户可根据需要自定义时长。
2.1.3 针对已被密码破解入侵的服务器,建议用户立即重新设置复杂密码(大写+小写+特殊字符+数字组成的12-16位的复杂密码),并检查账号列表中是否存在陌生账号,若存在陌生账号,需将陌生账号删除或者禁用,同时排查系统异常情况。