本帖最后由 清雨青雪 于 2024-3-3 10:34 编辑
事件起因 我有每周周末检查系统和火绒日志的习惯,如果能早日发现问题进行处置,可以避免后续造成更严重的影响。但在3月2日晚上打开电脑时,在火绒的安全日志中发现了两条暴破日志记录,如图:
问题分析与排查 通过初步分析,从日志中可以看出下面的信息: ① 暴破的协议是RDP,说明是尝试暴破本机的远程桌面(Remote Desktop)尝试远程登录本机,且本地地址端口与远程桌面端口相同,可以验证这个判断是正确的; ② 通过查看两条日志详情,我发现远程地址都是相同的,也就是说两次暴破攻击可能是相同来源;并且由于两条日志时间相对接近,可能已经持续了较长时间,甚至还在持续尝试暴破。
想到这里,我马上打开系统日志检查,不检查不要紧,这次的暴破竟然从2月29日就开始了,而且攻击次数竟然达到了5000多!!
在意识到真的出现安全风险后,我第一时间将远程桌面的对外端口关闭,并仔细检查系统情况。最终基本确定,由于发现及时且48小时没有被暴破成功,也没有发现其他如powershell的恶意执行等,判断系统并没有失陷,仍然是安全的。
事后处置与给大家的建议 问题排查结束后,依据此次实际遇到的攻击情况,做了部分设置调整: 火绒6.0的暴破攻击防护,检测灵敏度由中调整为高。经过对暴破频率的大致判断,在安装6.0版本后(3月1日晚)到第一次生成暴破攻击防护的日志,这期间一直处于低频暴破阶段,这也是为什么我直到2号晚上才发现问题的原因。 同时建议大家禁用系统来宾账户,禁用ADMINISTRATOR账户、账户名不要设置为ADMIN!!此次的暴破攻击行为,几乎全部的暴破记录都是使用这三个账户尝试远程登录的。也幸好我做到了这些,才在这次的攻击事件中没有被攻破。
多源暴破攻击防护是火绒6.0版本在暴破攻击防护中增加的新功能,具体功能说明大家可以后续关注官方信息。但从此次亲历的攻击事件看,这个功能对我及时发现暴破行为起到了重大作用。
此次涉及的暴破远程IP与归属地信息如下:
| IP | 归属地 | | 78.128.114.22 | 保加利亚 | | 78.128.114.18 | 保加利亚 | | 31.7.62.234 | 瑞士 | | 141.98.11.119 | 立陶宛/波兰 | | 141.98.11.58 | 立陶宛/波兰 | | 46.19.142.242 | 瑞士 |
| 
收藏
坐个板凳
