火绒安全软件
标题: 火绒6.0尚未开启公测,已经成功保护了我的电脑。 [打印本页]
作者: 清雨青雪 时间: 2024-3-3 10:13
标题: 火绒6.0尚未开启公测,已经成功保护了我的电脑。
本帖最后由 清雨青雪 于 2024-3-3 10:34 编辑
事件起因
我有每周周末检查系统和火绒日志的习惯,如果能早日发现问题进行处置,可以避免后续造成更严重的影响。但在3月2日晚上打开电脑时,在火绒的安全日志中发现了两条暴破日志记录,如图:
[attach]109443[/attach]
问题分析与排查
通过初步分析,从日志中可以看出下面的信息:
① 暴破的协议是RDP,说明是尝试暴破本机的远程桌面(Remote Desktop)尝试远程登录本机,且本地地址端口与远程桌面端口相同,可以验证这个判断是正确的;
② 通过查看两条日志详情,我发现远程地址都是相同的,也就是说两次暴破攻击可能是相同来源;并且由于两条日志时间相对接近,可能已经持续了较长时间,甚至还在持续尝试暴破。
想到这里,我马上打开系统日志检查,不检查不要紧,这次的暴破竟然从2月29日就开始了,而且攻击次数竟然达到了5000多!!
[attach]109444[/attach]
在意识到真的出现安全风险后,我第一时间将远程桌面的对外端口关闭,并仔细检查系统情况。最终基本确定,由于发现及时且48小时没有被暴破成功,也没有发现其他如powershell的恶意执行等,判断系统并没有失陷,仍然是安全的。
事后处置与给大家的建议
问题排查结束后,依据此次实际遇到的攻击情况,做了部分设置调整:
火绒6.0的暴破攻击防护,检测灵敏度由中调整为高。经过对暴破频率的大致判断,在安装6.0版本后(3月1日晚)到第一次生成暴破攻击防护的日志,这期间一直处于低频暴破阶段,这也是为什么我直到2号晚上才发现问题的原因。
同时建议大家禁用系统来宾账户,禁用ADMINISTRATOR账户、账户名不要设置为ADMIN!!此次的暴破攻击行为,几乎全部的暴破记录都是使用这三个账户尝试远程登录的。也幸好我做到了这些,才在这次的攻击事件中没有被攻破。
多源暴破攻击防护是火绒6.0版本在暴破攻击防护中增加的新功能,具体功能说明大家可以后续关注官方信息。但从此次亲历的攻击事件看,这个功能对我及时发现暴破行为起到了重大作用。
此次涉及的暴破远程IP与归属地信息如下:
| IP | 归属地 |
| 78.128.114.22 | 保加利亚 |
| 78.128.114.18 | 保加利亚 |
| 31.7.62.234 | 瑞士 |
| 141.98.11.119 | 立陶宛/波兰 |
| 141.98.11.58 | 立陶宛/波兰 |
| 46.19.142.242 | 瑞士 |
作者: www. 时间: 2024-3-3 10:36
抢个沙发
作者: 化悲痛为力量 时间: 2024-3-3 10:38
自从成为官人很少发帖啦
坐个板凳
作者: 时空穿梭机 时间: 2024-3-5 02:18
火绒厉害,加油吧,哈哈
| 欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) |
Powered by Discuz! X3.4 |