0x00 前言
FTP是一個文件傳輸協議,用戶通過FTP可從客戶機程序向遠程主機上傳或下載文件,常用於網站代碼維護、日常源碼備份等。如果攻擊者通過FTP匿名訪問或者弱口令獲取FTP權限,可直接上傳webshell,進一步滲透提權,直至控制整個網站服務器。
0x01 應急場景
從昨天開始,網站響應速度變得緩慢,網站服務器登錄上去非常卡,重啓服務器就能保證一段時間的正常訪問,網站響應狀態時而飛快時而緩慢,多數時間是緩慢的。針對網站服務器異常,系統日誌和網站日誌,是我們排查處理的重點。查看Window安全日誌,發現大量的登錄失敗記錄:
0x02 日誌分析
安全日誌分析:
安全日誌記錄着事件審計信息,包括用戶驗證(登錄、遠程訪問等)和特定用戶在認證後對系統做了什麼。
打開安全日誌,在右邊點擊篩選當前日誌, 在事件ID填入4625,查詢到事件ID4625,事件數177007,從這個數據可以看出,服務器正則遭受暴力破解:
進一步使用Log Parser對日誌提取數據分析,發現攻擊者使用了大量的用戶名進行爆破,例如用戶名:fxxx,共計進行了17826次口令嘗試,攻擊者基於“fxxx”這樣一個域名信息,構造了一系列的用戶名字典進行有針對性進行爆破,如下圖:
這裏我們留意到登錄類型爲8,來了解一下登錄類型8是什麼意思呢?
登錄類型8:網絡明文(NetworkCleartext)
這種登錄表明這是一個像類型3一樣的網絡登錄,但是這種登錄的密碼在網絡上是通過明文傳輸的,WindowsServer服務是不允許通過明文驗證連接到共享文件夾或打印機的,據我所知只有當從一個使用Advapi的ASP腳本登錄或者一個用戶使用基本驗證方式登錄IIS纔會是這種登錄類型。“登錄過程”欄都將列出Advapi。
我們推測可能是FTP服務,通過查看端口服務及管理員訪談,確認服務器確實對公網開放了FTP服務。
另外,日誌並未記錄暴力破解的IP地址,我們可以使用Wireshark對捕獲到的流量進行分析,獲取到正在進行爆破的IP:
通過對近段時間的管理員登錄日誌進行分析,如下:
管理員登錄正常,並未發現異常登錄時間和異常登錄ip,這裏的登錄類型10,代表遠程管理桌面登錄。
另外,通過查看FTP站點,發現只有一個測試文件,與站點目錄並不在同一個目錄下面,進一步驗證了FTP暴力破解並未成功。
應急處理措施:1、關閉外網FTP端口映射 2、刪除本地服務器FTP測試
0x04 處理措施
FTP暴力破解依然十分普遍,如何保護服務器不受暴力破解攻擊,總結了幾種措施:
1、禁止使用FTP傳輸文件,若必須開放應限定管理IP地址並加強口令安全審計(口令長度不低於8位,由數字、大小寫字母、特殊字符等至少兩種以上組合構成)。
2、更改服務器FTP默認端口。
3、部署入侵檢測設備,增強安全防護。
關於我:一個網絡安全愛好者,致力於分享原創高質量乾貨,歡迎關注我的個人微信公衆號:Bypass–,瀏覽更多精彩文章。
