¿Cómo manejo una alarma de ataque de fuerza bruta?
- Si un ataque de fuerza bruta tuvo éxito, tome medidas inmediatas para evitar que los atacantes realicen otras acciones, como la violación de datos, la realización de ataques DDoS o la implantación de ransomware, mineros o troyanos.
- Si se bloqueó un ataque de fuerza bruta, tome medidas inmediatas para mejorar sus servidores.
Mapa mental para la resolución de problemas
El siguiente mapa mental describe cómo manejar una alarma de ataque de fuerza bruta.
Manejo de la alarma de un ataque de fuerza bruta exitoso
Si recibió una notificación de alarma que indica que su cuenta ha sido descifrada, se le aconseja que endurezca sus servidores lo antes posible.
- Iniciar sesión en la consola de gestión.
- En la esquina superior izquierda de la página, seleccione una región, haga clic en , y elija
.Figura 2 Acceso a HSS
- En el cuadro de diálogo que se muestra, haga clic en Try the new edition para cambiar a la consola HSS (Nueva).
- Actualmente, HSS está disponible en las siguientes regiones: CN South-Guangzhou, CN-Hong Kong, AP-Bangkok, and AP-Singapore.
- En la consola HSS (Nueva), puede hacer clic en Back to Old Console en la esquina superior izquierda para cambiar a la consola HSS (Antigua).
- Si el análisis en la nube no está habilitado o accede a la consola HSS (Nuevo) por primera vez, se muestra el cuadro de diálogo Enable Cloud Scan?. Se recomienda seleccionar Enable cloud scan.
- La función de escaneo en la nube es gratuita.
- Una vez activada la función de análisis en la nube, se escanearán todos los servidores HSS. Algunas ediciones de cuota de HSS solo pueden admitir capacidades de análisis limitadas. Por lo tanto, se recomienda comprar la edición empresarial o superior para disfrutar de todas las capacidades de la función de escaneo en la nube.
Figura 3 Habilitar el análisis en la nube
- Compruebe si la dirección IP que activó la alarma es válida.
Elija. En el área Event Types, seleccione Abnormal User Behavior > Abnormal logins y compruebe la dirección IP de inicio de sesión.
- Si la dirección IP es de un usuario normal (por ejemplo, quien ha introducido una contraseña incorrecta varias veces pero ha iniciado sesión antes de que se bloquee su cuenta) su servidor no está entrometido. En este caso, puede hacer clic en Handle e ignorar el evento.
- Si la dirección IP no es válida, es posible que su servidor haya sido intrusado.
En este caso, marque este evento como controlado, inicie sesión en el servidor intruso y cambie su contraseña a una más fuerte. Para más detalles, consulte ¿Cómo configuro una contraseña segura?
Figura 4 Inicios de sesión anormales
- Comprobar y eliminar programas maliciosos.
Elija Malware > Malicious programs y compruebe los eventos de alarma.
- Si encuentra programas maliciosos implantados en sus servidores, localícelos según sus rutas de proceso, los usuarios que los ejecutan y el tiempo de inicio.
Para eliminar un programa malicioso en un evento de alarma, haga clic en Handle en la fila de este evento y seleccione Isolate and kill.
- Si ha confirmado que todas las alarmas de programas maliciosos son falsas, vaya al Paso 8.
- Si encuentra programas maliciosos implantados en sus servidores, localícelos según sus rutas de proceso, los usuarios que los ejecutan y el tiempo de inicio.
- Compruebe si hay registros de cambios de cuenta sospechosos.
Seleccione Asset Management > Asset Fingerprints y haga clic en la pestaña Account Information. Detectar registros de cambios de cuenta sospechosos para evitar que los atacantes creen cuentas o aumenten los permisos de cuenta (por ejemplo, agregar permisos de inicio de sesión a una cuenta). Para más información, consulte Comprobación del historial de operaciones .
- Verificar y manejar cuentas inválidas.
Elija Detection > Alarms. Elija Abnormal User Behavior > Invalid accounts para ver y manejar las alarmas de cuenta no válidas. Para obtener más información, consulte Manejo de alarmas de servidor
- Compruebe y corrija la configuración insegura.
Compruebe y corrija políticas débiles de complejidad de contraseñas y configuraciones de software inseguras en sus servidores. Para obtener más información, consulte Sugerencias sobre la corrección de configuraciones inseguras.
- Endurece sus servidores.
- Para obtener más información, consulte Reforzamiento de la seguridad para inicios de sesión SSH en ECS de Linux.
Manejar la alarma de un ataque de fuerza bruta bloqueado
Compruebe si las direcciones IP bloqueadas pueden ser confiables. HSS bloqueará una dirección IP si tiene cinco o más intentos de ataque de fuerza bruta detectados en 30 segundos, o 15 o más intentos de ataque de fuerza bruta detectados en 3,600 segundos.
- Linux
En los servidores que ejecutan EulerOS con ARM, HSS no bloquea las direcciones IP sospechosas de ataques de fuerza bruta SSH, sino que solo genera alarmas.
- Windows
- Autorice el firewall de Windows cuando habilite la protección para un servidor Windows. No deshabilite el firewall de Windows durante el período de servicio del HSS. Si el firewall de Windows está deshabilitado, HSS no puede bloquear direcciones IP de ataque de fuerza bruta.
- Si el firewall de Windows está habilitado manualmente, es posible que HSS también no bloquee las direcciones IP de ataque de fuerza bruta.
Procedimiento
- Iniciar sesión en la consola de gestión.
- En la esquina superior izquierda de la página, seleccione una región, haga clic en , y elija
.Figura 5 Acceso a HSS
- En el cuadro de diálogo que se muestra, haga clic en Try the new edition para cambiar a la consola HSS (Nueva).
- Actualmente, HSS está disponible en las siguientes regiones: CN South-Guangzhou, CN-Hong Kong, AP-Bangkok, and AP-Singapore.
- En la consola HSS (Nueva), puede hacer clic en Back to Old Console en la esquina superior izquierda para cambiar a la consola HSS (Antigua).
- Si el análisis en la nube no está habilitado o accede a la consola HSS (Nuevo) por primera vez, se muestra el cuadro de diálogo Enable Cloud Scan?. Se recomienda seleccionar Enable cloud scan.
- La función de escaneo en la nube es gratuita.
- Una vez activada la función de análisis en la nube, se escanearán todos los servidores HSS. Algunas ediciones de cuota de HSS solo pueden admitir capacidades de análisis limitadas. Por lo tanto, se recomienda comprar la edición empresarial o superior para disfrutar de todas las capacidades de la función de escaneo en la nube.
Figura 6 Habilitar el análisis en la nube
- Elija Brute-force attacks para ver los eventos de fuerza bruta de la cuenta.
. Elija Abnormal User Behavior > Las alarmas de ataque de fuerza bruta se generarán si:
- El sistema utiliza contraseñas débiles, está bajo ataques de fuerza bruta y las direcciones IP de los atacantes están bloqueadas.
- Los usuarios no pueden iniciar sesión después de varios intentos de contraseña incorrectos y sus direcciones IP están bloqueadas.
Figura 7 Ataques de fuerza bruta
- Compruebe si la dirección IP de inicio de sesión que activa la alarma es válida.
- Si la dirección IP es válida,
- Para controlar una falsa alarma, haga clic en Handle en la fila del evento de alarma. Ignore o ponga en la lista blanca la dirección IP.
Esto no desbloquea la dirección IP.
- Para desbloquear la dirección IP, haga clic en View Details en Blocked IP Addresses y seleccione la dirección IP. Alternativamente, puede esperar a que se desbloquee automáticamente cuando expire su duración de bloqueo.
De forma predeterminada, los atacantes SSH sospechosos están bloqueados durante 12 horas. Otros tipos de atacantes sospechosos están bloqueados durante 24 horas.
- Para controlar una falsa alarma, haga clic en Handle en la fila del evento de alarma. Ignore o ponga en la lista blanca la dirección IP.
- Si la dirección IP de origen es inválida o desconocida,
Marque este evento como manejado.
Inicie sesión inmediatamente en su servidor y cambie su contraseña por una más segura. También puede mejorar la defensa contra ataques de fuerza bruta siguiendo las instrucciones proporcionadas en ¿Cómo puedo defenderme de los ataques de fuerza bruta?
- Si la dirección IP es válida,