溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

Window應(yīng)急響應(yīng)以及FTP暴力破解的示例分析

發(fā)布時(shí)間:2021-11-20 10:39:43 來(lái)源:億速云 閱讀:185 作者:柒染 欄目:網(wǎng)絡(luò)安全

這篇文章將為大家詳細(xì)講解有關(guān)Window應(yīng)急響應(yīng)以及FTP暴力破解的示例分析,文章內(nèi)容質(zhì)量較高,因此小編分享給大家做個(gè)參考,希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

0x00 前言

         FTP是一個(gè)文件傳輸協(xié)議,用戶通過(guò)FTP可從客戶機(jī)程序向遠(yuǎn)程主機(jī)上傳或下載文件,常用于網(wǎng)站代碼維護(hù)、日常源碼備份等。如果攻擊者通過(guò)FTP匿名訪問(wèn)或者弱口令獲取FTP權(quán)限,可直接上傳webshell,進(jìn)一步滲透提權(quán),直至控制整個(gè)網(wǎng)站服務(wù)器?!{信息白帽子id:Bypass 

0x01 應(yīng)急場(chǎng)景

        從昨天開(kāi)始,網(wǎng)站響應(yīng)速度變得緩慢,網(wǎng)站服務(wù)器登錄上去非常卡,重啟服務(wù)器就能保證一段時(shí)間的正常訪問(wèn),網(wǎng)站響應(yīng)狀態(tài)時(shí)而飛快時(shí)而緩慢,多數(shù)時(shí)間是緩慢的。針對(duì)網(wǎng)站服務(wù)器異常,系統(tǒng)日志和網(wǎng)站日志,是我們排查處理的重點(diǎn)。查看Window安全日志,發(fā)現(xiàn)大量的登錄失敗記錄:


Window應(yīng)急響應(yīng)以及FTP暴力破解的示例分析

0x02 日志分析

安全日志分析:

安全日志記錄著事件審計(jì)信息,包括用戶驗(yàn)證(登錄、遠(yuǎn)程訪問(wèn)等)和特定用戶在認(rèn)證后對(duì)系統(tǒng)做了什么。

打開(kāi)安全日志,在右邊點(diǎn)擊篩選當(dāng)前日志, 在事件ID填入4625,查詢到事件ID4625,事件數(shù)177007,從這個(gè)數(shù)據(jù)可以看出,服務(wù)器正則遭受暴力破解:

Window應(yīng)急響應(yīng)以及FTP暴力破解的示例分析

進(jìn)一步使用Log Parser對(duì)日志提取數(shù)據(jù)分析,發(fā)現(xiàn)攻擊者使用了大量的用戶名進(jìn)行爆破,例如用戶名:fxxx,共計(jì)進(jìn)行了17826次口令嘗試,攻擊者基于“fxxx”這樣一個(gè)域名信息,構(gòu)造了一系列的用戶名字典進(jìn)行有針對(duì)性進(jìn)行爆破,如下圖:


Window應(yīng)急響應(yīng)以及FTP暴力破解的示例分析

這里我們留意到登錄類型為8,來(lái)了解一下登錄類型8是什么意思呢?

登錄類型8:網(wǎng)絡(luò)明文(NetworkCleartext)

這種登錄表明這是一個(gè)像類型3一樣的網(wǎng)絡(luò)登錄,但是這種登錄的密碼在網(wǎng)絡(luò)上是通過(guò)明文傳輸?shù)?,WindowsServer服務(wù)是不允許通過(guò)明文驗(yàn)證連接到共享文件夾或打印機(jī)的,據(jù)我所知只有當(dāng)從一個(gè)使用Advapi的ASP腳本登錄或者一個(gè)用戶使用基本驗(yàn)證方式登錄IIS才會(huì)是這種登錄類型。“登錄過(guò)程”欄都將列出Advapi。

我們推測(cè)可能是FTP服務(wù),通過(guò)查看端口服務(wù)及管理員訪談,確認(rèn)服務(wù)器確實(shí)對(duì)公網(wǎng)開(kāi)放了FTP服務(wù)。


Window應(yīng)急響應(yīng)以及FTP暴力破解的示例分析

另外,日志并未記錄暴力破解的IP地址,我們可以使用Wireshark對(duì)捕獲到的流量進(jìn)行分析,獲取到正在進(jìn)行爆破的IP:

Window應(yīng)急響應(yīng)以及FTP暴力破解的示例分析

通過(guò)對(duì)近段時(shí)間的管理員登錄日志進(jìn)行分析,如下:

Window應(yīng)急響應(yīng)以及FTP暴力破解的示例分析

管理員登錄正常,并未發(fā)現(xiàn)異常登錄時(shí)間和異常登錄ip,這里的登錄類型10,代表遠(yuǎn)程管理桌面登錄。

另外,通過(guò)查看FTP站點(diǎn),發(fā)現(xiàn)只有一個(gè)測(cè)試文件,與站點(diǎn)目錄并不在同一個(gè)目錄下面,進(jìn)一步驗(yàn)證了FTP暴力破解并未成功。


Window應(yīng)急響應(yīng)以及FTP暴力破解的示例分析

應(yīng)急處理:1、關(guān)閉外網(wǎng)FTP端口映射           2、刪除本地服務(wù)器FTP測(cè)試服務(wù)

0x03 預(yù)防處理措施

FTP暴力破解依然十分普遍,如何保護(hù)服務(wù)器不受暴力破解攻擊,總結(jié)了幾種措施:

1、禁止使用FTP傳輸文件,若必須開(kāi)放應(yīng)限定管理IP地址并加強(qiáng)口令安全審計(jì)
(口令長(zhǎng)度不低于8位,由數(shù)字、大小寫字母、特殊字符等至少兩種以上組合構(gòu)成)。
2、更改服務(wù)器FTP默認(rèn)端口。
3、部署入侵檢測(cè)設(shè)備,增強(qiáng)安全防護(hù)。

關(guān)于Window應(yīng)急響應(yīng)以及FTP暴力破解的示例分析就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò),可以把它分享出去讓更多的人看到。

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI