基于暴力破解的应急大部分都是发现ssh爆破、ftp爆破等,本文将会为大家列举以下几种常见暴力破解及应急措施。
1.ssh爆破
2.ftp爆破
3.数据库爆破
4.RDP爆破
一
情况简述
下面为大家简单解释一下几种情况对应的相关具体信息:
01
FTP暴力破解
FTP是一个文件传输协议,用户通过FTP可从客户机程序向远程主机上传或下载文件,常用于网站代码维护、日常源码备份等。如果攻击者通过FTP匿名访问或者弱口令获取FTP权限,可直接上传webshell,进一步渗透提权,直至控制整个网站服务器。
02
SSH暴力破解
SSH 是目前较可靠、专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。SSH口令长度太短或者复杂度不够(如仅包含数字或仅包含字母等)容易被攻击者破解。一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。
03
数据库爆破
04
RDP爆破
3389是一个远程桌面的端口,很多人为了更方便管理服务器,更新服务器上的资源等,经常会开启3389端口,用netstat -an命令可以查看该端口的开启。对于一个账户如果账号密码过于弱很容易被爆破到,一般默认账号为Administrator,极少会是admin,而对于过于简单的密码,在3389密码字典中均可找到。
RDP(Remote Desktop Protocol)称为“远程桌面登录协议”,即当某台计算机开启了远程桌面连接功能后(在windows系统中这个功能是默认打开的),我们就可以在网络的另一端控制这台机器了。通过远程桌面功能,我们可以实时地操作这台计算机,在上面安装软件,运行程序,所有的一切都好像是直接在该计算机上操作一样。
二
实际应急场景举例
01
网站响应速度较慢应急
当出现“网站响应速度变得缓慢,网站服务器登录上去非常卡,重启服务器就能保证一段时间的正常访问,网站响应状态时而飞快时而缓慢,多数时间是缓慢的”的情况时,多半是网站服务器异常,这时系统日志和网站日志就是我们排查处理的重点。查看Window安全日志,会发现大量的登录失败记录:
 |
示例应急过程
首先进行日志分析,查看安全日志,发现事件ID为4625时,事件数较多,判断服务器正在遭受暴力破解,同时发现大量事件为4625的登录类型显示为8。
| id | 登录类型 | 描述 |
|---|---|---|
| 2 | Interactive | 用户登录到本机 |
| 3 | Network | 用户或计算手机从网络登录到本机,如果网络共享,或使用 net use 访问网络共享,net view 查看网络共享 |
| 4 | Batch | 批处理登录类型,无需用户干预 |
| 5 | Service | 服务控制管理器登录 |
| 7 | Unlock | 用户解锁主机 |
| 8 | NetworkCleartext | 用户从网络登录到此计算机,用户密码用非哈希的形式传递 |
| 9 | NewCredentials | 进程或线程克隆了其当前令牌,但为出站连接指定了新凭据 |
| 10 | Remotelnteractive | 使用终端服务或远程桌面连接登录 |
| 11 | Cachedlnteractive | 用户使用本地存储在计算机上的凭据登录到计算机(域控制器可能无法验证凭据),如主机不能连接域控,以前使用域账户登录过这台主机,再登录就会产生这样日志 |
| 12 | CachedRemotelnteractive | 与 Remotelnteractive 相同,内部用于审计目的 |
| 13 | CachedUnlock | 登录尝试解锁 |
这种登录表明这是一个像类型3一样的网络登录,但这种登录的密码在网络上是通过明文传输的。推测可能是FTP服务,后续步骤继续确认。
由于日志没有记录暴力破解的ip,只能使用嗅探工具进行分析(wireshark或tcpdump),但大概率不会找到具体ip。
另外,通过查看FTP站点,发现只有一个测试文件,与站点目录并不在同一个目录下面,进一步验证了FTP暴力破解并未成功。
至此本次事件结束。
|
|
结论
02
服务器异常连接
示例应急过程
|
|
1.TCP初始化连接三次握手:发SYN包,然后返回SYN/ACK包,再发ACK包,连接正式建立。但这里有点出入,当请求者收到SYS/ACK包后,就开始建立连接了,而被请求者第三次握手结束后才建立连接。
2.客户端TCP状态迁移:
CLOSED->SYN_SENT->ESTABLISHED->FIN_WAIT_1->FIN_WAIT_2->TIME_WAIT->CLOSED*左右滑动查看更多
服务器TCP状态迁移:
CLOSED->LISTEN->SYN recv->ESTABLISHED->CLOSE_WAIT->LAST_ACK->CLOSED*左右滑动查看更多
3.当客户端开始连接时,服务器还处于LISTENING,客户端发一个SYN包后,服务端接收到了客户端的SYN并且发送了ACK时,服务器处于SYN_RECV状态,然后并没有再次收到客户端的ACK进入ESTABLISHED状态,一直停留在SYN_RECV状态。
在这里,SSH(22)端口,两条外网IP的SYN_RECV状态连接,存在异常。
首先判断系统账号情况,查看远程登陆账号信息,之后对日志进行分析,通过grep指令筛选爆破ip以及管理员登录情况。后续发现存在大量异常登录情况。
这里给一下ssh日志分析的常用指令。
相关日志分析
查看登录成功的日志:
cat /var/log/secure |moreless /var/log/secure|grep 'Accepted'less /var/log/auth.log|grep 'Accepted'xxxxxxxxxx cat /var/log/secure |moreless /var/log/secure|grep 'Accepted' less /var/log/auth.log|grep 'Accepted'cd /var/logless secure | grep 'Accepted'*左右滑动查看更多
检查/var/log目录下的secure(CentOS)或者auth.log(Ubuntu),如果存在大量异常IP高频率尝试登录,且有成功登录记录(重点查找事发时间段),在微步在线上查询该登录IP信息,如果为恶意IP且与用户常用IP无关,则很有可能为用户弱口令被成功爆破。
这里也列举一下其他路径的日志的相关说明:
/var/log/message 一般信息和系统信息/var/log/secure 登陆信息/var/log/maillog mail记录/var/log/utmp/var/log/wtmp登陆记录信息(last命令即读取此日志)
结论
攻击者通过ssh暴力破解,对网站进行攻击,将统计到的攻击ip进行黑名单加固,同时加强网站的连接口令。
03
MSSQL被控制应急
|
|
|
|
|
|
这里仅给出数据库对于爆破事件的查看和笔者自己接触过攻击者通过数据库爆破从而进一步勒索的应急。
示例应急过程
|
|
|
|
04
RDP日志分析
RDP登录日志除了安全日志之外还有其他多种方法。
1.部分情况下安全日志被攻击者清空,查看RDP登录成功事件可以访问以下路径。记录了哪些源IP利用RDP方式成功登陆到了本机。
Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational*左右滑动查看更多
|
|
2.注册表
HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers*左右滑动查看更多
此路径记录了当前主机曾经登录过了哪些服务器。
|
|
3.在安全日志里面筛选事件ID5156日志,可以看到本机在什么时候访问了其他服务器的3389端口。
|
|
三
爆破应急注意事项
1.确认事件发生时间等信息,确认具体的时间点(做应急时可以和客户确认,自己也要再实际确认一下)。
2.收集线索(安全设备告警日志、涉事主机相关日志)。
3.多从日志上入手,一般的暴力破解都会在日志中记录,同时需要注意windows日志的登录类型,不要过于忽略非远程登录的登录类型。
4.对于一些没有安全设备的网站,需要使用wireshark、tcpdump进行后续的线索收集,在应急前可以准备该工具。
— 往期回顾 —
原文始发于微信公众号(安恒信息安全服务):九维团队-青队(处置)| 暴力破解痕迹分析汇总
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论