Window應急響應(一):FTP暴力破解
0x00 前言
FTP是一個檔案傳輸協議,使用者通過FTP可從客戶機程式向遠端主機上傳或下載檔案,常用於網站程式碼維護、日常原始碼備份等。如果攻擊者通過FTP匿名訪問或者弱口令獲取FTP許可權,可直接上傳webshell,進一步滲透提權,直至控制整個網站伺服器。
0x01 應急場景
從昨天開始,網站響應速度變得緩慢,網站伺服器登入上去非常卡,重啟伺服器就能保證一段時間的正常訪問,網站響應狀態時而飛快時而緩慢,多數時間是緩慢的。針對網站伺服器異常,系統日誌和網站日誌,是我們排查處理的重點。檢視Window安全日誌,發現大量的登入失敗記錄:
0x02 日誌分析
安全日誌分析:
安全日誌記錄著事件審計資訊,包括使用者驗證(登入、遠端訪問等)和特定使用者在認證後對系統做了什麼。
開啟安全日誌,在右邊點選篩選當前日誌, 在事件ID填入4625,查詢到事件ID4625,事件數177007,從這個資料可以看出,伺服器正則遭受暴力破解:
進一步使用Log Parser對日誌提取資料分析,發現攻擊者使用了大量的使用者名稱進行爆破,例如使用者名稱:fxxx,共計進行了17826次口令嘗試,攻擊者基於“fxxx”這樣一個域名資訊,構造了一系列的使用者名稱字典進行有針對性進行爆破,如下圖:
這裡我們留意到登入型別為8,來了解一下登入型別8是什麼意思呢?
登入型別8:網路明文(NetworkCleartext)
這種登入表明這是一個像型別3一樣的網路登入,但是這種登入的密碼在網路上是通過明文傳輸的,WindowsServer服務是不允許通過明文驗證連線到共享資料夾或印表機的,據我所知只有當從一個使用Advapi的ASP指令碼登入或者一個使用者使用基本驗證方式登入IIS才會是這種登入型別。“登入過程”欄都將列出Advapi。
我們推測可能是FTP服務,通過檢視埠服務及管理員訪談,確認伺服器確實對公網開放了FTP服務。
另外,日誌並未記錄暴力破解的IP地址,我們可以使用Wireshark對捕獲到的流量進行分析,獲取到正在進行爆破的IP:
通過對近段時間的管理員登入日誌進行分析,如下:
管理員登入正常,並未發現異常登入時間和異常登入ip,這裡的登入型別10,代表遠端管理桌面登入。
另外,通過檢視FTP站點,發現只有一個測試檔案,與站點目錄並不在同一個目錄下面,進一步驗證了FTP暴力破解並未成功。
應急處理:
1、關閉外網FTP埠對映
2、刪除本地伺服器FTP測試服務
0x03 預防處理措施
FTP暴力破解依然十分普遍,如何保護伺服器不受暴力破解攻擊,總結了幾種措施:
1、禁止使用FTP傳輸檔案,若必須開放應限定管理IP地址並加強口令安全審計 (口令長度不低於8位,由數字、大小寫字母、特殊字元等至少兩種以上組合構成)。 2、更改伺服器FTP預設埠。 3、部署入侵檢測裝置,增強安全防護。
本文由Bypass原創釋出,轉載請保留出處。個人微信公眾號:Bypass--