更新时间:2024-06-11 GMT+08:00

暴力破解

告警类型说明

暴力破解法(BruteForce)是一种密码分析方法,基本原理是在一定条件范围内对所有可能结果进行逐一验证,直到找出符合条件的结果为止。攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码,一旦破解成功,即可实施攻击和控制。

态势感知支持检测22种子类型的暴力破解威胁,基础版不支持检测暴力破解类威胁,标准版支持检测8种子类型威胁,专业版支持检测全部子类型威胁(其中有8种类型需要购买主机安全服务)。

处理建议

当检测到暴力破解类威胁时,各子类型威胁处理建议参见表1

表1 部分暴力破解类威胁处理建议

威胁告警名称

告警等级

威胁说明

处理建议

SSH暴力破解

中危

检测到ECS实例被不断尝试SSH登录,代表有攻击者正在尝试对ECS实例做SSH暴力破解攻击尝试。

攻击发生主要原因是SSH端口开放到公网,因此建议按照如下方式处理:

  1. 在安全组设置中限制外部SSH访问;
  2. 在ECS操作系统中配置hosts.deny。

RDP暴力破解

中危

检测到ECS实例被不断尝试RDP登录,代表有攻击者正在尝试对ECS实例做RDP暴力破解攻击尝试。

攻击发生的主要原因是RDP端口开放到公网,因此建议按照如下方式处理:

  1. 在安全组设置中限制外部RDP访问;
  2. 在ECS操作系统中配置远程桌面访问控制,如配置Windows防火墙等。

Web暴力破解

中危

检测到Web服务(如登录页面等)被不断尝试登录,代表有攻击者正在尝试对Web应用登录页面等做暴力破解攻击尝试。

攻击发生的主要原因是将应用的后台管理页面(如phpMyAdmin、tomcat管理页面等)开放到公网;需要开放到公网访问的业务,登录页面未做登录校验。因此建议按照如下方式处理:

  1. 在安全组设置中限制外部访问后台管理系统页面;
  2. 在Web应用中设置防爆破逻辑,如设置登录短信验证码、图片验证码等;

MySQL爆破

中危

检测到ECS实例上的MySQL被不断尝试登录,代表有攻击者正在尝试对ECS实例做MySQL暴力破解攻击尝试。

攻击发生的主要原因是MySQL服务端口开放到公网,因此建议按照如下方式处理:

  1. 在安全组中限制外部访问MySQL实例;
  2. 配置OS上的防火墙策略,限制外部访问;
  3. 解除安装MySQL实例的ECS与EIP的绑定关系。

MS SQL爆破

中危

检测到ECS实例上的MS SQLServer被不断尝试登录,代表有攻击者正在尝试对ECS实例做MS SQLServer暴力破解攻击尝试。

攻击发生的主要原因是MS SQLServer服务端口开放到公网,因此建议按照如下方式处理:

  1. 在安全组设置中限制外部访问MS SQLServer实例;
  2. 配置OS上的防火墙策略,限制外部访问;
  3. 解除安装MS SQLServer实例的ECS与EIP的绑定关系。

系统爆破检测事件

中危

检测到ECS实例被暴力破解攻击,不断被尝试登录。

建议登录企业主机安全管理控制台处理。

非法系统账户

中危

检测到ECS实例被暴力破解攻击,不断被非法系统账户尝试登录。

建议登录企业主机安全管理控制台处理。

系统被成功爆破事件

高危

检测到用户ECS实例被爆破成功。

建议登录企业主机安全管理控制台处理。