0x00 前言
? FTP是一個文件傳輸協議,用戶通過FTP可從客戶機程序向遠程主機上傳或下載文件,常用于網站代碼維護、日常源碼備份等。如果攻擊者通過FTP匿名訪問或者弱口令獲取FTP權限,可直接上傳webshell,進一步滲透提權,直至控制整個網站服務器。
0x01 應急場景
? 從昨天開始,網站響應速度變得緩慢,網站服務器登錄上去非常卡,重啟服務器就能保證一段時間的正常訪問,網站響應狀態時而飛快時而緩慢,多數時間是緩慢的。針對網站服務器異常,系統日志和網站日志,是我們排查處理的重點。查看Window安全日志,發現大量的登錄失敗記錄:
0x02 日志分析
安全日志分析:
安全日志記錄著事件審計信息,包括用戶驗證(登錄、遠程訪問等)和特定用戶在認證后對系統做了什么。
打開安全日志,在右邊點擊篩選當前日志, 在事件ID填入4625,查詢到事件ID4625,事件數177007,從這個數據可以看出,服務器正則遭受暴力破解:
進一步使用Log Parser對日志提取數據分析,發現攻擊者使用了大量的用戶名進行爆破,例如用戶名:fxxx,共計進行了17826次口令嘗試,攻擊者基于“fxxx”這樣一個域名信息,構造了一系列的用戶名字典進行有針對性進行爆破,如下圖:
這里我們留意到登錄類型為8,來了解一下登錄類型8是什么意思呢?
登錄類型8:網絡明文(NetworkCleartext)
這種登錄表明這是一個像類型3一樣的網絡登錄,但是這種登錄的密碼在網絡上是通過明文傳輸的,windowsServer服務是不允許通過明文驗證連接到共享文件夾或打印機的,據我所知只有當從一個使用Advapi的ASP腳本登錄或者一個用戶使用基本驗證方式登錄IIS才會是這種登錄類型。“登錄過程”欄都將列出Advapi。
我們推測可能是FTP服務,通過查看端口服務及管理員訪談,確認服務器確實對公網開放了FTP服務。
另外,日志并未記錄暴力破解的IP地址,我們可以使用Wireshark對捕獲到的流量進行分析,獲取到正在進行爆破的IP:
通過對近段時間的管理員登錄日志進行分析,如下:
管理員登錄正常,并未發現異常登錄時間和異常登錄ip,這里的登錄類型10,代表遠程管理桌面登錄。
另外,通過查看FTP站點,發現只有一個測試文件,與站點目錄并不在同一個目錄下面,進一步驗證了FTP暴力破解并未成功。
應急處理措施:1、關閉外網FTP端口映射 2、刪除本地服務器FTP測試
0x04 處理措施
? FTP暴力破解依然十分普遍,如何保護服務器不受暴力破解攻擊,總結了幾種措施:
1、禁止使用FTP傳輸文件,若必須開放應限定管理IP地址并加強口令安全審計(口令長度不低于8位,由數字、大小寫字母、特殊字符等至少兩種以上組合構成)。 2、更改服務器FTP默認端口。 3、部署入侵檢測設備,增強安全防護。
