Como lidar com um alarme de ataque de força bruta?
- Se um ataque de força bruta foi bem-sucedido, tome medidas imediatas para evitar que os invasores realizem outras ações, como violação de dados, realização de ataques de DDoS ou implementação de ransomware, mineradores ou cavalos de Troia.
- Se um ataque de força bruta foi bloqueado, tome medidas imediatas para melhorar seus servidores.
Mapa de ideias para solução de problemas
O mapa de ideias a seguir descreve como lidar com um alarme de ataque de força bruta.
Lidar com o alarme de um ataque de força bruta bem-sucedido
Se você recebeu uma notificação de alarme indicando que sua conta foi invadida, é aconselhável reforçar os seus servidores o mais rápido possível.
- Faça logon no console de gerenciamento.
- No canto superior esquerdo da página, selecione uma região, clique em e escolha
.Figura 2 Acessar o HSS
- Verifique se o endereço IP que acionou o alarme é válido.
Escolha. Na área Event Types, escolha Abnormal User Behavior > Abnormal logins e verifique o endereço IP de logon.
- Se o endereço IP for de um usuário normal (por exemplo, quem digitou a senha incorreta por várias vezes, mas fez logon antes de sua conta ser bloqueada), seu servidor não será invadido. Nesse caso, você pode clicar em Handle e ignorar o evento.
- Se o endereço IP for inválido, o seu servidor pode ter sido invadido.
Nesse caso, marque esse evento como tratado, faça logon no servidor invadido e altere sua senha para uma mais forte. Para mais detalhes, consulte Como definir uma senha segura?
Figura 3 Logons anormais
- Verifique e elimine programas maliciosos.
Escolha Malware > Malicious programs e verifique eventos de alarme.
- Se você encontrar programas maliciosos implementados em seus servidores, localize-os com base em seus caminhos de processo, usuários que os executam e tempo de inicialização.
Para eliminar um programa malicioso em um evento de alarme, clique em Handle na linha deste evento e selecione Isolate and kill.
- Se você confirmou que todos os alarmes do programa malicioso são falsos, vá para Etapa 8.
- Se você encontrar programas maliciosos implementados em seus servidores, localize-os com base em seus caminhos de processo, usuários que os executam e tempo de inicialização.
- Verifique se existem registos de alterações de contas suspeitos.
Escolha Asset Management > Asset Fingerprints e clique na guia Account Information. Detecte registros de alteração de conta suspeitos para impedir que invasores criem contas ou aumentem permissões de conta (por exemplo, adicionar permissões de logon a uma conta). Para obter detalhes, consulte Verificação do histórico da operação.
- Verifique e lide com contas inválidas.
Escolha Detection > Alarms. Escolha Abnormal User Behavior > Invalid accounts para visualizar e lidar com os alarmes de contas inválidas. Para obter detalhes, consulte Tratamento de alarmes do servidor.
- Verifique e corrija configurações inseguras.
Verifique e corrija políticas de complexidade de senha fraca e configurações de software inseguras em seus servidores. Para obter detalhes, consulte Sugestões sobre como corrigir configurações inseguras.
- Reforce os seus servidores.
- Para obter mais informações, consulte Reforço da segurança para logons SSH em ECSs de Linux.
Lidar com o alarme de um ataque de força bruta bloqueado
Se você ativou uma edição superior ao HSS básico, o HSS protegerá seus servidores contra ataques de força bruta.
Você pode configurar uma política de segurança de logon para especificar o modo de determinação de quebra por força bruta e a duração do bloqueio. Para obter detalhes, consulte Verificação de segurança de logon.
Se você não tiver configurado nenhuma política de detecção de segurança de logon, será usada a seguinte política de segurança de logon padrão: o HSS bloqueará um endereço IP se ele tiver cinco ou mais tentativas de ataque de força bruta detectadas em 30 segundos ou 15 ou mais tentativas de ataque de força bruta detectadas em 3.600 segundos.
Se você receber um alarme indicando que um endereço IP de origem de ataque está bloqueado, verifique se o endereço IP de origem é um endereço IP confiável.
- Linux
Em servidores que executam o EulerOS com ARM, o HSS não bloqueia os endereços IP suspeitos de ataques de força bruta de SSH, mas apenas gera alarmes.
- Windows
- Autorize o firewall do Windows quando ativar a proteção para um servidor do Windows. Não desative o firewall do Windows durante o período de serviço do HSS. Se o firewall do Windows estiver desativado, o HSS não poderá bloquear endereços IP de ataque de força bruta.
- Se o firewall do Windows estiver ativado manualmente, o HSS também pode falhar ao bloquear endereços IP de ataque de força bruta.
Procedimento
- Faça logon no console de gerenciamento.
- No canto superior esquerdo da página, selecione uma região, clique em e escolha
.Figura 4 Acessar o HSS
- Escolha Brute-force attacks para visualizar eventos de força bruta da conta.
. Escolha Abnormal User Behavior > Alarmes de ataque de força bruta serão gerados se:
- O sistema que usa senhas fracas, estiver a ser alvo de ataques de força bruta e os endereços IP dos atacantes estiverem bloqueados.
- Os usuários não conseguirem fazer logon após várias tentativas de senha incorreta e os seus endereços IP forem bloqueados.
Figura 5 Ataques de força bruta
- Verifique se o endereço IP de logon que aciona o alarme é válido.
- Se o endereço IP for válido,
- Para lidar com um alarme falso, clique em Handle na linha do evento de alarme. Ignore ou coloque o endereço IP na lista branca.
Isso não desbloqueia o endereço IP.
- Para desbloquear o endereço IP, clique em View Details em Blocked IP Addresses, selecione o endereço IP e desbloqueie-o. Alternativamente, você pode apenas esperar que ele seja desbloqueado automaticamente quando sua duração de bloqueio expirar.
Por padrão, os invasores SSH suspeitos são bloqueados por 12 horas. Outros tipos de invasores suspeitos são bloqueados por 24 horas.
- Para lidar com um alarme falso, clique em Handle na linha do evento de alarme. Ignore ou coloque o endereço IP na lista branca.
- Se o endereço IP de origem for inválido ou desconhecido,
Marque esse evento como tratado.
Imediatamente faça logon no seu servidor e altere sua senha para uma mais forte. Também é possível melhorar a defesa contra ataques de força bruta seguindo as instruções fornecidas em Como me defender contra ataques de força bruta?
- Se o endereço IP for válido,