帐户被暴力破解,怎么办?
- 若您的主机被暴力破解成功,攻击者很可能已经入侵并登录您的主机,窃取用户数据、勒索加密、植入挖矿程序、DDoS木马攻击等恶意操作。
- 若您的主机被尝试暴力破解,攻击源IP被HSS拦截,请及时采取有效的措施预防帐户暴力破解事件。
排查思路
以下排查思路按照收到帐户暴力破解告警通知的状态进行逐层细化,您可以根据帐户暴力破解的实际情况选择对应的分支进行排查。
帐户被暴力破解,攻击源IP已成功登录
若您收到帐户暴力破解成功的告警信息,例如“【帐户被爆破告警】企业主机安全服务当前检测到您XX区域的云服务器XX的帐户被破解,已成功登录:攻击源IP:10.108.1.1,攻击类型:ssh”,则说明您的主机被暴力破解成功,建议您尽快加固您的主机安全。
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择 ,进入企业主机安全页面。
图2 企业主机安全
- 判断源IP的合法性。
选择“帐户异常登录”页面,查看成功登录主机的源IP是否为合法IP。页面,进入
- 若源IP合法(多次输错口令,但未达到拦截IP条件,成功登录),您可以单击“处理”,忽略该事件。
- 若源IP不合法,是未知IP,那么您主机系统已经被入侵成功。
请单击该事件并标记为“手动处理”,并登录被攻击的主机,尽快修改该主机的系统帐户口令,口令设置方法请参见如何设置安全的口令?
图3 帐户异常登录
- 排查并处理恶意程序。
选择“恶意程序(云查杀)”排查系统是否被植入了恶意程序。
- 若被植入了恶意程序,请根据检测结果中提示的“恶意程序路径”、“运行用户”、“程序启动时间”等信息,分析、判断哪些确实是恶意程序。
针对恶意程序,单击恶意程序告警事件,并单击“处理”,选择“隔离查杀”,立即终止恶意程序进程。
- 若没有被植入恶意程序,请执行步骤 5。
图4 恶意程序(云查杀)
- 若被植入了恶意程序,请根据检测结果中提示的“恶意程序路径”、“运行用户”、“程序启动时间”等信息,分析、判断哪些确实是恶意程序。
- 排查并处理可疑帐号。
选择帐号信息管理。
,排查并处理系统中的可疑帐号,防止攻击者创建新的帐户或更改帐户权限(例如:将某个原来不具备登录权限的帐户修改为具备登录权限),详细信息请参见 - 排查并处理风险帐户。
选择“风险帐户”排查所有系统帐户,对风险帐户进行处理,详细信息请参见处理风险帐号。
中的 - 使用基线检查功能进行风险检测,并根据建议处理风险项。
检测主机中的口令复杂度策略,关键软件中含有风险的配置信息,详细信息请参见基线检查。
- 加固您的服务器安全。
- Linux主机SSH登录的安全加固,详细信息请参见Linux云服务器SSH登录的安全加固。
- 您也可以根据如何预防帐户暴力破解攻击?章节,加强主机帐户暴力破解防护。
帐户被尝试破解,攻击源IP被拦截
若30秒内,帐户暴力破解次数达到5次及以上,或者3600秒内,帐户暴力破解次数达到15次及以上,HSS就会拦截该源IP,禁止其再次登录,防止主机因帐户破解被入侵,请及时确认该源IP是否为可信IP。
操作步骤
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择 ,进入企业主机安全页面。
图5 企业主机安全
- 选择“帐户暴力破解”,查看帐户暴力破解事件。
,选择出现帐户暴力破解告警事件,说明您的主机可能存在被暴力破解风险。
- 系统存在弱口令,同时正在遭受暴力破解攻击,攻击IP被拦截。
- 数次口令输错后,源IP被拦截。
图6 帐户暴力破解事件
- 建议您立即确认源IP是否是已知的合法IP。
- 若源IP合法。
- 选择帐户暴力破解事件,单击“处理”,并标记为“忽略”或者“加入告警白名单”。
将该事件“忽略”或者“加入告警白名单”,均不会解除拦截的IP。
- 若需要解除拦截的IP,请单击“已拦截IP”,立即解除拦截的IP,或者当HSS检测到超过默认拦截时间后,主机不再被暴力破解攻击,将会自动解除拦截。
SSH类型攻击默认拦截12小时,其他类型攻击默认拦截24小时。
- 选择帐户暴力破解事件,单击“处理”,并标记为“忽略”或者“加入告警白名单”。
- 若源IP不合法,是未知IP。
请选择发生的帐户暴力破解事件,单击“处理”,并标记为“手动处理”。
立即登录主机系统,修改并设置安全的帐户密码,并加固您的主机安全。您也可以参照如何预防帐户暴力破解攻击?章节,加强主机帐户暴力破解防护。
- 若源IP合法。
帐户暴力破解问题 所有常见问题
more