更新时间:2024-04-15 GMT+08:00

频繁收到HSS暴力破解告警如何处理?

收到告警事件通知说明您的云服务器被攻击过,不代表已经被破解入侵。您可在收到告警后,及时对告警进行分析、排查,采取相应的防护措施即可。

频繁被暴力破解的可能原因

由于您服务器的远程连接端口没做访问控制,导致网络上的病毒频繁攻击您服务器端口。

处理办法

您可通过以下方式来改善被频繁暴破攻击的情况,降低风险:

  • 配置SSH登录白名单

    SSH登录白名单功能是防护账户破解的一个重要方式,配置后,只允许白名单内的IP登录到服务器,拒绝白名单以外的IP。详细操作请参见配置SSH登录IP白名单

  • 开启双因子认证

    双因子认证功能是一种双因素身份验证机制,结合短信/邮箱验证码,对云服务器登录行为进行二次身份认证。

    “双因子认证”页面,勾选需要开启双因子的主机,单击“开启双因子认证”,开启双因子认证。详细操作请参见开启双因子认证

  • 修改默认端口

    将默认的远程管理端口“22”“3389”修改为不易猜测的其他端口。

  • 设置安全组规则,限制攻击源IP访问您的服务端口

    建议设置对外开放的远程管理端口(如SSH、远程桌面登录),只允许固定的来源IP进行连接。

    您可以通过配置安全组规则来限制攻击源IP访问您的服务端口。如果是远程登录端口,您可以只允许特定的IP地址远程登录到弹性云服务器。

    例:仅允许特定IP地址(例如,192.168.20.2)通过SSH协议访问Linux操作系统的弹性云服务器的22端口,安全组规则如下所示:

    表1 仅允许特定IP地址远程连接云服务器

    方向

    协议应用

    端口

    源地址

    入方向

    SSH(22)

    22

    例如:192.168.20.2/32

  • 设置安全强度高的口令

    HSS的基线检查包含口令复杂度策略检测和弱口令检测,可检测出主机系统中使用弱口令的账户,您可以在控制台查看并处理主机中的口令风险。

HSS如何拦截暴力破解?

HSS支持检测SSH、RDP、FTP、SQL Server、MySQL等账户遭受的口令破解攻击。

默认情况下,如果30秒内,账户暴力破解次数达到5次及以上,或者3600秒内,账户暴力破解次数达到15次及以上,HSS就会拦截该源IP,禁止其再次登录,防止主机因账户破解被入侵。

如果您为主机开启了主机安全防护,您可以通过配置登录安全检测策略限定暴力破解的判断方式和封禁时间,详细操作请参见配置登录安全检测策略

HSS拦截的IP可在控制台入侵检测 > 安全告警事件页面,单击“已拦截IP”上方的数值进行查看。