租户端 安全 主机安全(CWP) 租户端操作指南

密码破解

最近更新时间: 2024-06-12 15:06:00

主机安全的 密码破解 基于网络安全防御和主机入侵检测能力,为主机提供密码暴力破解行为实时监控,实现自动阻断防御功能。

全局阻断设置

前提条件

“对全局阻断进行设置”功能仅专业版主机支持,基础版和未防护主机须 升级专业版 才可使用该功能。

操作指南

通过设置全局阻断规则与阻断模式,实现自动阻断防御功能,操作步骤如下:

  1. 登录主机安全控制台,在左侧导航中,选择入侵检测 > 密码破解,进入密码破解页面。

    开启自动阻断开关。在密码破解页面上方,用户可一键开启自动阻断开关。

  2. 设置阻断模式。在阻断模式右侧单击设置,弹出设置页面,在设置页面进行相关设置,设置完成后,单击确定即可,字段说明如下:

    • 判断暴破规则:支持用户自定义“判断暴破规则”,最多支持添加5条。

    • 阻断模式:密码破解共提供两种阻断模式。

      • 标准阻断(默认推荐):设置“暴破规则”智能识别暴破行为,过滤白名单来源 IP,针对暴破来源 IP 自动阻断。

      • 深度阻断(请谨慎选择):设置“白名单-非白即黑”策略,非白名单的来源 IP 将自动阻断(仅支持22、3389端口)。

        注意:

        深度阻断兼容标准阻断,例:某非白名单的来源 IP 通过55端口登录,即便不是22、3389端口,但因命中了标准阻断规则,仍将被阻断。

        请慎重选择深度阻断,需要用户配置完善的白名单,避免误阻断。若出现误阻断情况,您可通过“加白名单”或“关闭自动阻断”来解除阻断,数据同步5分钟内生效。

    • 阻断区域:表示阻断功能可支持的用户服务器所在区域。

配置白名单

配置白名单后,属于白名单来源 IP 的密码破解行为将不会被阻断与告警,操作步骤如下:

  1. 登录主机安全控制台,在左侧导航中,选择入侵检测 > 密码破解,进入密码破解页面。

  2. 在密码破解页面,单击白名单管理,进入白名单管理页面。

  3. 在白名单管理页面,单击添加白名单,进入创建白名单页面中。

  4. 在新增白名单页面中,填写来源 IP 及生效范围。

    注意:

    • 添加白名单后,该来源 IP 的密码破解行为将不会被阻断与告警,请慎重操作。若有非白名单来源 IP 尝试登录,并命中暴力破解规则时,系统将自动发出异常告警或阻断。
    • 当来源 IP 为腾讯云内网 IP 时,不论有没有加入白名单,均不发生阻断。

    参数说明:

  • 来源 IP:支持填写单个 IP、IP 范围(如1.1.1.1-1.1.1.10)或 IP 段(如1.1.1.0/24)。

  • 生效范围:

    • 全部服务器(请谨慎选择):将对用户 AppID 下所有服务器添加信任该白名单条件。

    • 自定义服务器范围:自定义选择添加信任该白名单条件的服务器范围。

  • 备注:建议您输入相关规则备注。

查看密码破解事件

登录主机安全控制台,在左侧导航中,选择入侵检测 > 密码破解,进入密码破解页面,所有暴力破解事件将会在暴力破解列表中展示。

字段说明:

  • 服务器 IP/名称 :当前被暴力破解的服务器。

  • 来源 IP:攻击来源 IP 地址。

  • 来源地:攻击来源 IP 所在地域。

  • 协议:攻击者通过的协议,含 ssh/rdp、ftp、mssql、mysql、smb、mongodb、kafka、rabbitmq。

  • 登录用户名:攻击者登录使用的用户名。

  • 端口:攻击者登录使用的端口。

  • 首次攻击时间:主机安全首次监控到密码破解行为的时间。

  • 最近攻击时间:该事件最近再次发生的时间。

  • 攻击时间:攻击者发起暴力破解时间。

  • 尝试次数:攻击 IP 尝试暴力破解的次数统计。

  • 破解状态:当前服务器被暴力破解成功或失败说明。

  • 阻断状态:针对本次攻击的自动阻断成功或未阻断说明。

  • 操作:

    • 升级版本:当前服务器为升级为专业版主机安全,可单击升级版本进行升级。

    • 加入白名单:当出现错误阻断时,可以单击加入白名单立即解除阻断。

    • 删除记录:支持删除该事件,删除记录后将不再显示该记录。

开启告警通知

登录主机安全控制台,在左侧导航中,选择设置中心 > 告警设置,在告警设置中,开启告警通知开关,当前产生密码破解事件时,会以站内信、短信、邮件、微信及企业微信进行通知。

密码破解事件处置指引

  1. 当用户接收密码破解事件告警时,登录主机安全控制台,在左侧导航中,选择入侵检测 > 密码破解,进入密码破解页面。

  2. 查看告警事件列表中的对应攻击来源 IP。

    若确认是可信来源 IP,用户需在该事件右侧操作栏中,单击处理 > 加入白名单,设置加白名单条件和生效范围(请用户谨慎添加白名单)。配置成功后,预计5分钟内生效,后续来自该来源 IP 的密码破解行为将不再进行告警或者阻断。

  • 若确认是不可信来源 IP,且服务器已被攻击者密码破解成功。

    1. 首先确认当前服务器的主机安全是否已升级为专业版,若未升级为专业版,建议用户在该事件右侧操作栏中,单击升级版本,升级为专业版主机安全。

    2. 在密码破解页面上方,开启自动阻断开关,推荐选择标准阻断模式,后续来自该攻击来源 IP 将会自动阻断,默认阻断时长15分钟,用户可根据需要自定义时长。

    3. 针对已被密码破解入侵的服务器,建议用户立即重新设置复杂密码(大写+小写+特殊字符+数字组成的12-16位的复杂密码),并检查账号列表中是否存在陌生账号,若存在陌生账号,需将陌生账号删除或者禁用,同时排查系统异常情况。