華為云企業(yè)主機安全HSS如何攔截賬戶暴力破解？

攔截范圍

HSS可攔截的攻擊類型包括：mysql、mssql、vsftp、filezilla、serv-u、ssh、rdp。

若您的服務(wù)器上安裝了mysql或者vsftp，開啟主機安全防護之后，Agent會在iptables里面新增一些規(guī)則，用于mysql/vsftp爆破防護。當(dāng)檢測到爆破行為后會將爆破IP加入到阻斷列表里面，新增的規(guī)則如圖1所示。

圖1 新增規(guī)則

須知：

不建議刪除已添加的iptables規(guī)則，若刪除iptables規(guī)則，HSS將無法防護mysql/vsftp被暴力破解。

賬戶破解攔截原理

暴力破解是一種常見的入侵攻擊行為，通過暴力破解或猜解主機密碼，從而獲得主機的控制權(quán)限，會嚴重危害主機的安全。

通過暴力破解檢測算法和全網(wǎng)IP黑名單，若發(fā)現(xiàn)暴力破解主機的行為，HSS會對發(fā)起攻擊的源IP進行攔截，SSH類型攻擊默認攔截12小時，其他類型攻擊默認攔截24小時。若被攔截的IP在默認攔截時間內(nèi)沒有再繼續(xù)攻擊，系統(tǒng)自動解除攔截。同時HSS支持雙因子認證功能，雙重認證用戶身份，有效阻止攻擊者對主機賬號的破解行為。

您可以配置常用登錄IP、配置SSH登錄IP白名單，常用登錄IP、SSH登錄IP白名單中的IP登錄行為不會被攔截。

說明：

使用鯤鵬計算EulerOS（EulerOS with ARM）的主機，在遭受SSH賬戶破解攻擊時，HSS不會對攻擊IP進行攔截，僅支持對攻擊行為進行告警；SSH登錄IP白名單功能也對其不生效。

告警策略

• 如果黑客暴力破解密碼成功，且成功登錄您的服務(wù)器，會立即發(fā)送實時告警通知用戶。

• 如果檢測到暴力破解攻擊并且評估認為賬戶存在被破解的風(fēng)險，會立即發(fā)送實時告警通知用戶。

• 如果該次暴力破解沒有成功，主機上也沒有已知風(fēng)險項（不存在弱口令），評估認為賬戶沒有被破解的風(fēng)險時，不會發(fā)送實時告警。企業(yè)主機安全服務(wù)會在每天發(fā)送一次的每日告警信息中通告當(dāng)日攻擊事件數(shù)量。您也可以登錄企業(yè)主機安全控制臺入侵檢測頁面實時查看攔截信息。

查看賬戶破解檢測結(jié)果

1. 登錄管理控制臺。

2. 在頁面左上角選擇“區(qū)域”，單擊，選擇“安全 > 企業(yè)主機安全”，進入企業(yè)主機安全頁面。

   圖2 企業(yè)主機安全
   

3. 進入“賬戶暴力破解”頁面，查看已防護的服務(wù)器上的暴力破解攔截記錄，如圖3所示。

   圖3 賬戶破解防護
   

4. 單擊“已攔截IP”，可查看已攔截的攻擊源IP、攻擊類型、攔截次數(shù)、開始攔截時間和最近攔截時間，以及攔截狀態(tài)。

• 已攔截：表示該暴力破解行為已被HSS成功攔截。

• 已解除：表示您已解除對該暴力破解行為的攔截。

說明：

• SSH類型攻擊默認攔截12小時，其他類型攻擊默認攔截24小時。若被攔截的IP在默認攔截時間內(nèi)沒有再繼續(xù)攻擊，系統(tǒng)自動解除攔截。

處理攔截IP

• 如果發(fā)現(xiàn)某個主機被頻繁攻擊，需要引起重視，建議及時修補漏洞，處理風(fēng)險項。

  建議開啟雙因子認證功能，并配置常用登錄IP、配置SSH登錄IP白名單。

• 如果發(fā)現(xiàn)有合法IP被誤封禁（比如運維人員因為記錯密碼，多次輸錯密碼導(dǎo)致被封禁），可以手動解除攔截IP。

須知：

• 若您手動解除被攔截的可信IP，僅可以解除本次HSS對該IP的攔截。若再次發(fā)生多次密碼輸錯，該IP會再次被HSS攔截。