账户被暴力破解，怎么办？

排查思路

以下排查思路按照收到账户暴力破解告警通知的状态进行逐层细化，您可以根据账户暴力破解的实际情况选择对应的分支进行排查。

图1 排查思路

账户被暴力破解，攻击源IP已成功登录

若您收到账户暴力破解成功的告警信息，例如“【账户被爆破告警】企业主机安全当前检测到您XX区域的云服务器XX的账户被破解，已成功登录：攻击源IP：10.108.1.1，攻击类型：ssh”，则说明您的主机被暴力破解成功，建议您尽快加固您的主机安全。

1. 登录管理控制台。
2. 在页面左上角单击，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。
3. 判断源IP的合法性。
   选择“入侵检测 > 安全告警事件”页面，进入“异常登录”页面，查看成功登录主机的源IP是否为合法IP。

   • 若源IP合法（多次输错口令，但未达到拦截IP条件，成功登录），您可以单击“处理”，忽略该事件。
   • 若源IP不合法，是未知IP，那么您主机系统已经被入侵成功。

     请单击该事件并标记为“手动处理”，并登录被攻击的主机，尽快修改该主机的系统账户口令，口令设置方法请参见如何设置安全的口令？

4. 排查并处理恶意程序。
   选择“恶意程序”排查系统是否被植入了恶意程序。

   • 若被植入了恶意程序，请根据检测结果中提示的“恶意程序路径”、“运行用户”、“程序启动时间”等信息，分析、判断哪些确实是恶意程序。

     针对恶意程序，单击恶意程序告警事件，并单击“处理”，选择“隔离查杀”，立即终止恶意程序进程。

   • 若没有被植入恶意程序，请执行步骤8。

5. 排查账号可疑变动记录。

   选择“资产管理 > 资产指纹”，排查系统中账号的变动记录是否可疑，防止攻击者创建新的账户或更改账户权限（例如：将某个原来不具备登录权限的账户修改为具备登录权限）。

6. 排查并处理非法账号。

   选择“入侵检测 > 安全告警事件”中的“非法系统账号”查看所有非法账号的告警，对告警信息进行处理。

7. 使用基线检查功能进行风险检测，并根据建议处理风险项。

   检测主机中的口令复杂度策略，关键软件中含有风险的配置信息

账户被尝试破解，攻击源IP被拦截

如果您为主机开启了主机安全防护，HSS会为您的主机提供暴力破解防护。

您可以通过配置登录安全检测策略限定暴力破解的判断方式和封禁时间。

如果您未配置过登录安全检测策略，登录安全检测策略默认为：如果30秒内，账户暴力破解次数达到5次及以上，或者3600秒内，账户暴力破解次数达到15次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因账户破解被入侵。

如果您收到了攻击源IP被拦截的告警，请及时确认该源IP是否为可信IP。

操作步骤

1. 登录管理控制台。
2. 在页面左上角单击，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。
3. 选择“入侵检测 > 安全告警事件”，选择“暴力破解”，查看账户暴力破解事件。
   出现账户暴力破解告警事件，说明您的主机可能存在被暴力破解风险。

   • 系统存在弱口令，同时正在遭受暴力破解攻击，攻击IP被拦截。
   • 数次口令输错后，源IP被拦截。

4. 建议您立即确认源IP是否是已知的合法IP。
   • 若源IP合法。
     • 选择账户暴力破解事件，单击“处理”，并标记为“忽略””或者“加入登录白名单”。

       将该事件“忽略”或者“加入登录白名单”，均不会解除拦截的IP。

     • 若需要解除拦截的IP，请单击“已拦截IP”，立即解除拦截的IP，或者当HSS检测到超过默认拦截时间后，主机不再被暴力破解攻击，将会自动解除拦截。

       SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。

   • 若源IP不合法，是未知IP。

     请选择发生的账户暴力破解事件，单击“处理”，并标记为“手动处理””。

     立即登录主机系统，修改并设置安全的账户密码，并加固您的主机安全。

相关问题

• HSS如何拦截暴力破解？
• 如何手动解除误拦截IP？