账户被暴力破解，怎么办？

● 若您的主机被暴力破解成功，攻击者很可能已经入侵并登录您的主机，窃取用户 数据、勒索加密、植入挖矿程序、DDoS木马攻击等恶意操作。

● 若您的主机被尝试暴力破解，攻击源IP被HSS拦截，请及时采取有效的措施预防账 户暴力破解事件。

排查思路

以下排查思路按照收到账户暴力破解告警通知的状态进行逐层细化，您可以根据账户 暴力破解的实际情况选择对应的分支进行排查。

图4-4 排查思路

账户被暴力破解，攻击源 IP 已成功登录

若您收到账户暴力破解成功的告警信息，例如“【账户被爆破告警】企业主机安全服 务当前检测到您XX区域的云服务器XX的账户被破解，已成功登录：攻击源IP：

10.108.1.1，攻击类型：ssh”，则说明您的主机被暴力破解成功，建议您尽快加固您 的主机安全。

步骤1 登录管理控制台。

步骤2 在页面左上角选择“区域”，单击 ，选择“安全与合规 > 企业主机安全”，进入 企业主机安全页面。

图4-5 企业主机安全

步骤3 判断源IP的合法性。

选择“入侵检测 > 事件管理”页面，进入“账户异常登录”页面，查看成功登录主机 的源IP是否为合法IP。

● 若源IP合法（多次输错口令，但未达到拦截IP条件，成功登录），您可以单击“处 理”，忽略该事件。

● 若源IP不合法，是未知IP，那么您主机系统已经被入侵成功。

请单击该事件并标记为“手动处理”，并登录被攻击的主机，尽快修改该主机的 系统账户口令，口令设置方法请参见如何设置安全的口令？

图4-6 账户异常登录

步骤4 排查并处理恶意程序。

选择“恶意程序（云查杀）”排查系统是否被植入了恶意程序。

● 若被植入了恶意程序，请根据检测结果中提示的“恶意程序路径”、“运行用 户”、“程序启动时间”等信息，分析、判断哪些确实是恶意程序。

针对恶意程序，单击恶意程序告警事件，并单击“处理”，选择“隔离查杀”，

立即终止恶意程序进程。

● 若没有被植入恶意程序，请执行步骤5。

图4-7 恶意程序（云查杀）

步骤5 排查并处理可疑账号。

选择“风险预防 > 账号信息管理”，排查并处理系统中的可疑账号，防止攻击者创建 新的账户或更改账户权限（例如：将某个原来不具备登录权限的账户修改为具备登录 权限），详细信息请参见账号信息管理。

步骤6 排查并处理风险账户。

选择“入侵检测 > 事件管理”中的“风险账户”排查所有系统账户，对风险账户进行 处理，详细信息请参见处理风险账号。

步骤7 使用基线检查功能进行风险检测，并根据建议处理风险项。

检测主机中的口令复杂度策略，关键软件中含有风险的配置信息，详细信息请参见基 线检查。

步骤8 加固您的服务器安全。

● Linux主机SSH登录的安全加固，详细信息请参见Linux云服务器SSH登录的安全加 固。

● 您也可以根据如何预防账户暴力破解攻击？章节，加强主机账户暴力破解防护。

----结束

账户被尝试破解，攻击源 IP 被拦截

若30秒内，账户暴力破解次数达到5次及以上，或者3600秒内，账户暴力破解次数达 到15次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因账户破解被入 侵，请及时确认该源IP是否为可信IP。

约束与限制

● Linux操作系统

使用鲲鹏计算EulerOS（EulerOS with ARM）和Centos 8.0及以上版本的主机，

在遭受SSH账户破解攻击时，HSS不会对攻击IP进行拦截，仅支持对攻击行为进行 告警。

● Windows操作系统

– 开启主机防护时，需要授权开启Windows防火墙，且使用企业主机安全服务 期间请勿关闭Windows防火墙。若关闭Windows防火墙，HSS无法拦截账户 暴力破解的攻击源IP。

– 通过手动开启Windows防火墙，也可能导致HSS不能拦截账户暴力破解的攻 击源IP。

操作步骤

步骤1 登录管理控制台。

步骤2 在页面左上角选择“区域”，单击 ，选择“安全与合规 > 企业主机安全”，进入 企业主机安全页面。

图4-8 企业主机安全

步骤3 选择“入侵检测 > 事件管理”，选择“账户暴力破解”，查看账户暴力破解事件。

出现账户暴力破解告警事件，说明您的主机可能存在被暴力破解风险。

● 系统存在弱口令，同时正在遭受暴力破解攻击，攻击IP被拦截。

● 数次口令输错后，源IP被拦截。

图4-9 账户暴力破解事件

步骤4 建议您立即确认源IP是否是已知的合法IP。

● 若源IP合法。

– 选择账户暴力破解事件，单击“处理”，并标记为“忽略”或者“加入告警 白名单”。

将该事件“忽略”或者“加入告警白名单”，均不会解除拦截的IP。

– 若需要解除拦截的IP，请单击“已拦截IP”，立即解除拦截的IP，或者当HSS 检测到超过默认拦截时间后，主机不再被暴力破解攻击，将会自动解除拦 截。

SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。

● 若源IP不合法，是未知IP。

开启云堡垒机后，入侵、破解将优先被云堡垒机监测拦截告警，与HSS形成 双重防护。

● 应用层面

– 使用SSH KEY登录

为主机资源、应用服务器开启SSH KEY密钥登录，在每次登录时要求公钥和 私钥必须相匹配才可登录成功。创建密钥对详情请参见创建密钥对。