Window應急響應以及FTP暴力破解的示例分析

這篇文章將為大家詳細講解有關Window應急響應以及FTP暴力破解的示例分析，文章內容質量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關知識有一定的了解。

0x00 前言

         FTP是一個文件傳輸協議，用戶通過FTP可從客戶機程序向遠程主機上傳或下載文件，常用于網站代碼維護、日常源碼備份等。如果攻擊者通過FTP匿名訪問或者弱口令獲取FTP權限，可直接上傳webshell，進一步滲透提權，直至控制整個網站服務器。——海峽信息白帽子id:Bypass 

0x01 應急場景

        從昨天開始，網站響應速度變得緩慢，網站服務器登錄上去非常卡，重啟服務器就能保證一段時間的正常訪問，網站響應狀態時而飛快時而緩慢，多數時間是緩慢的。針對網站服務器異常，系統日志和網站日志，是我們排查處理的重點。查看Window安全日志，發現大量的登錄失敗記錄：

0x02 日志分析

安全日志分析：

安全日志記錄著事件審計信息，包括用戶驗證（登錄、遠程訪問等）和特定用戶在認證后對系統做了什么。

打開安全日志，在右邊點擊篩選當前日志， 在事件ID填入4625，查詢到事件ID4625，事件數177007，從這個數據可以看出，服務器正則遭受暴力破解：

進一步使用Log Parser對日志提取數據分析，發現攻擊者使用了大量的用戶名進行爆破，例如用戶名：fxxx，共計進行了17826次口令嘗試，攻擊者基于“fxxx”這樣一個域名信息，構造了一系列的用戶名字典進行有針對性進行爆破，如下圖：

這里我們留意到登錄類型為8，來了解一下登錄類型8是什么意思呢？

登錄類型8：網絡明文（NetworkCleartext）

這種登錄表明這是一個像類型3一樣的網絡登錄，但是這種登錄的密碼在網絡上是通過明文傳輸的，WindowsServer服務是不允許通過明文驗證連接到共享文件夾或打印機的，據我所知只有當從一個使用Advapi的ASP腳本登錄或者一個用戶使用基本驗證方式登錄IIS才會是這種登錄類型。“登錄過程”欄都將列出Advapi。

我們推測可能是FTP服務，通過查看端口服務及管理員訪談，確認服務器確實對公網開放了FTP服務。

另外，日志并未記錄暴力破解的IP地址，我們可以使用Wireshark對捕獲到的流量進行分析，獲取到正在進行爆破的IP：

通過對近段時間的管理員登錄日志進行分析，如下：

管理員登錄正常，并未發現異常登錄時間和異常登錄ip，這里的登錄類型10，代表遠程管理桌面登錄。

另外，通過查看FTP站點，發現只有一個測試文件，與站點目錄并不在同一個目錄下面，進一步驗證了FTP暴力破解并未成功。

應急處理：1、關閉外網FTP端口映射           2、刪除本地服務器FTP測試服務

0x03 預防處理措施

FTP暴力破解依然十分普遍，如何保護服務器不受暴力破解攻擊，總結了幾種措施：

1、禁止使用FTP傳輸文件，若必須開放應限定管理IP地址并加強口令安全審計
（口令長度不低于8位，由數字、大小寫字母、特殊字符等至少兩種以上組合構成）。
2、更改服務器FTP默認端口。
3、部署入侵檢測設備，增強安全防護。

關于Window應急響應以及FTP暴力破解的示例分析就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。