Window應急響應（一）：FTP暴力破解

0x00 前言

​ FTP是一個文件傳輸協議，用戶經過FTP可從客戶機程序向遠程主機上傳或下載文件，經常使用於網站代碼維護、平常源碼備份等。若是攻擊者經過FTP匿名訪問或者弱口令獲取FTP權限，可直接上傳webshell，進一步滲透提權，直至控制整個網站服務器。

0x01 應急場景

​ 從昨天開始，網站響應速度變得緩慢，網站服務器登陸上去很是卡，重啓服務器就能保證一段時間的正常訪問，網站響應狀態時而飛快時而緩慢，多數時間是緩慢的。針對網站服務器異常，系統日誌和網站日誌，是咱們排查處理的重點。查看Window安全日誌，發現大量的登陸失敗記錄：

0x02 日誌分析

安全日誌分析：

安全日誌記錄着事件審計信息，包括用戶驗證（登陸、遠程訪問等）和特定用戶在認證後對系統作了什麼。

打開安全日誌，在右邊點擊篩選當前日誌， 在事件ID填入4625，查詢到事件ID4625，事件數177007，從這個數據能夠看出，服務器正則遭受暴力破解：

進一步使用Log Parser對日誌提取數據分析，發現攻擊者使用了大量的用戶名進行爆破，例如用戶名：fxxx，共計進行了17826次口令嘗試，攻擊者基於「fxxx」這樣一個域名信息，構造了一系列的用戶名字典進行有針對性進行爆破，以下圖：

這裏咱們留意到登陸類型爲8，來了解一下登陸類型8是什麼意思呢？

登陸類型8：網絡明文（NetworkCleartext） 

這種登陸代表這是一個像類型3同樣的網絡登陸，可是這種登陸的密碼在網絡上是經過明文傳輸的，WindowsServer服務是不容許經過明文驗證鏈接到共享文件夾或打印機的，據我所知只有當從一個使用Advapi的ASP腳本登陸或者一個用戶使用基本驗證方式登陸IIS纔會是這種登陸類型。「登陸過程」欄都將列出Advapi。

咱們推測多是FTP服務，經過查看端口服務及管理員訪談，確認服務器確實對公網開放了FTP服務。

另外，日誌並未記錄暴力破解的IP地址，咱們可使用Wireshark對捕獲到的流量進行分析，獲取到正在進行爆破的IP：

經過對近段時間的管理員登陸日誌進行分析，以下：

管理員登陸正常，並未發現異常登陸時間和異常登陸ip，這裏的登陸類型10，表明遠程管理桌面登陸。

另外，經過查看FTP站點，發現只有一個測試文件，與站點目錄並不在同一個目錄下面，進一步驗證了FTP暴力破解並未成功。

應急處理措施：一、關閉外網FTP端口映射 二、刪除本地服務器FTP測試

 

0x04 處理措施

​ FTP暴力破解依然十分廣泛，如何保護服務器不受暴力破解攻擊，總結了幾種措施：

一、禁止使用FTP傳輸文件，若必須開放應限定管理IP地址並增強口令安全審計（口令長度不低於8位，由數字、大小寫字母、特殊字符等至少兩種以上組合構成）。
二、更改服務器FTP默認端口。
三、部署入侵檢測設備，加強安全防禦。

推薦閱讀： 

Window應急響應（一）：FTP暴力破解

Window應急響應（二）：蠕蟲病毒

Window應急響應（三）：勒索病毒

Window應急響應（四）：挖礦病毒

Window應急響應（五）：ARP病毒

 

最後

歡迎關注我的微信公衆號：Bypass--，每週原創一篇技術乾貨。