0x00前言
FTP是一种文件传输协议,用户可以通过它从客户端程序向远程主机上传或下载文件。常用于网站代码维护和日常源码备份。如果攻击者通过FTP匿名访问,或者通过弱密码获得FTP权限,就可以直接上传webshell,进一步渗透和认领权力,直至控制整个网站服务器。
0x01紧急情况
从昨天开始,网站的响应速度变得很慢,登录时网站服务器非常卡。重启服务器可以保证一段时间的正常访问。网站的响应状态时快时慢,大部分时间都是慢的。针对网站服务器异常,系统日志,网站日志,是我们调查处理的重点。查看Window安全日志,我们发现大量登录失败记录:
0x02日志分析
安全日志分析:
安全日志记录事件审计信息,包括用户身份验证(登录、远程访问等。)以及特定用户在认证后对系统做了什么。
打开安全日志,点击右侧过滤当前日志,在事件ID中填写4625,事件ID为4625,事件数量为177007。从这个数据可以看出,服务器规则被暴力破解了:
进一步使用Log Parser对日志中提取的数据进行分析,发现攻击者使用了大量用户名进行blast,如用户名:FXX,进行了17826次密码尝试。攻击者基于域名信息“FXX”,构建了一系列用户名字典,有针对性地进行爆破,如下图所示:
这里,我们注意到登录类型是8。让我们看看登录类型8是什么意思。
登录类型8: NetworkCleartext
这种登录表示这是一种类似于Type 3的网络登录,但是这种登录的密码是通过明文在网络上传输的。不允许WindowsServer服务通过明文身份验证连接到共享文件夹或打印机。据我所知,这种登录类型只有在使用Advapi从ASP脚本登录或者用户使用基本身份验证登录IIS时才会出现。Advapi将在“登录过程”列中列出。
我们推测可能是FTP服务。通过检查端口服务和采访管理员,我们确认服务器确实向公共网络开放了FTP服务。
另外,日志并没有记录暴力破解的IP地址。我们可以使用Wireshark来分析捕获的流量,并获得正在被攻击的IP:
通过对近期管理员登录日志的分析,如下:
管理员正常登录,未发现登录时间和ip异常。这里的登录类型是10,这意味着远程管理桌面登录。
另外,通过查看FTP站点,发现只有一个测试文件,与站点目录不在同一个目录下,进一步验证了FTP暴力破解并不成功。
应急措施:1。关闭外部网络2的FTP端口映射。删除本地服务器的FTP测试。
0x04处理措施
FTP暴力破解还是很常见的。如何保护服务器免受暴力破解攻击,本文总结了几种措施:
1、禁止使用FTP传输文件,若必须开放应限定管理IP地址并加强口令安全审计(口令长度不低于8位,由数字、大小写字母、特殊字符等至少两种以上组合构成)。2、更改服务器FTP默认端口。3、部署入侵检测设备,增强安全防护
本文来自曼文投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/508166.html
微信扫一扫 
