重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
本该是风和日丽的一天,闲得无聊,打开了windows的事件查看器,诶,我不是换了rdp(远程桌面连接)的默认端口了吗,竟然还这么多登录日志,得~ 换端口果然是自欺欺人的事情。被爆破了。再仔细一看事件中竟然没有记录ip。那么,开搞吧。
十年的金秀网站建设经验,针对设计、前端、开发、售后、文案、推广等六对一服务,响应快,48小时及时工作处理。成都全网营销的优势是能够根据用户设备显示端的尺寸不同,自动调整金秀建站的显示方式,使网站能够适用不同显示终端,在浏览器中调整网站的宽度,无论在任何一种浏览器上浏览网站,都能展现优雅布局与设计,从而大程度地提升浏览体验。成都创新互联公司从事“金秀网站设计”,“金秀网站推广”以来,每个客户项目都认真落实执行。
先说下我的环境,Windows Server 2012 R2,除了更换了3389的端口以外,没有做任何安全配置。
其实第一眼,看到日志,我本以为是SMB(445),NETBIOS(135,139)这些服务的锅,因为安全日志的事件ID为4625和4776。
前者的 LogonProcessName 为 NtLmSsp ,后者 PackageName 为 MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 。
通过上面两个关键词,查到许多NtLm攻击相关的文章(后面发现其实和这个没关系...),我就先从SMB安全配置入手( 绝招是直接关闭SMB ,简单方便,读者可不做下面的操作。但我想探究这次的攻击究竟是怎样的)。
1、检查SMBv1状态的方法:
在Powershell中运行命令:
Get-SmbServerConfiguration | Select EnableSMB1Protocol
如果打印“Ture”,则说明SMBv1为开启状态。
2、关闭SMBv1的方法
在power shell中运行命令:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
更多参考信息见 微软文档
又因Freebuf的一篇 Windows SMB请求重放攻击分析 ,我决定再启用SMB签名。
将注册表项"RequireSecuritySignature"设置为 1 可以启用 SMB 签名
可用powershell执行
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters" RequireSecureNegotiate -Value 1 –Force
对 本地组策略-计算机配置-Windows设置-安全设置-安全选项 中一些配置进行了修改。
例如:
上述设置,我也不是非常清楚。这里就不展开了。
注意: 错误的修改,可能会导致自身无法连接到服务器。
具体可看这篇文章 保护内网安全之提高Windows AD安全性
进行上述的修改后,安全事件日志还是哗啦啦的警告,然后我一查看云服务器的安全组,我根本都没有开放445,139这类的端口。然后我注意到了在 应用程序与服务日志 中的 Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational 事件日志。
通过上图大佬的总结,我优先使用了策略组进行配置,账户锁定策略。这个配置也比较简单。运行打开 gpedit.msc ,按照下图配置即可。
wail2ban,linux中有个很好用的工具,叫做fail2ban,wail2ban算是它的windows版本,做的事情大致相同,从日志(事件)匹配并提取ip,进行封禁。
Windows Server Wail2ban and Folder Sharing not working together - Error 4625 no IP
使用还是很简单的。
最后的139事件可不添加。后面会用到。
配置好后的效果如下:
这样一目了然的发现,还真的都是不一样的ip。
(并且似乎开启防火墙后,策略组的配置也生效了)
其实到此为止已经差不多了,但是我想肯定还是服务器有什么地方配置的脆弱了,才会受到此次攻击。我就想看看对方的RDP爆破和我正常的RDP连接有什么区别。
恩,Wireshark安装!
因为用到了TLS层,我后面甚至还做了解密(不做也可以)。具体方式见 如何使用Wireshark解密Windows远程桌面(RDP)协议
我的捕获过滤器是 port 端口号 ,显示过滤器为 not ip.addr eq 本机ip
可以看到他协议用的是Tlsv1, 而我自身使用的是Tlsv1.2。Tls 1.0也不少问题,那么简单了,赶紧禁用Tls1.0吧。
禁用TLS1.0后,再去查看事件,发现已经由原先的140事件,变为了139事件,描述为 服务器安全层在协议流中检测到一个错误(0x80090304),并中断了客户端连接(客户端 IP:45.145.64.5)。 ,攻击方的一次尝试也不能成功了!
wail2ban也可以继续开着,并且做一些配置,还可以防御更多的爆破事件。
最后我也照猫画虎的来一次威胁情报IOC,下面的ip是本次攻击事件中出现的。
Windows 2016 服务器安全配置和加固
windows 系统简单加固
网站要依靠计算机服务器来运行整个体系,计算机服务器的安全程度直接关系着网站的稳定程度,加强计算机服务器的安全等级,避免网站信息遭恶意泄露。
一、基于帐户的安全策略
1、帐户改名
Administrator和guest是Windows系统默认的系统帐户,正因如此它们是最可能被利用,攻击者通过破解密码而登录计算机服务器。可以通过为其改名进行防范。
2、密码策略
密码策略作用于域帐户或本地帐户,其中就包含以下几个方面:强制密码历史,密码最长使用期限,密码最短使用期限,密码长度最小值,密码必须符合复杂性要求,用可还原的`加密来存储密码。
对于本地计算机的用户帐户,其密码策略设置是在“本地安全设置”管理工个中进行的。
3、帐户锁定
当计算机服务器帐户密码不够安全时,非法用户很容易通过多次重试“猜”出用户密码而登录系统,存在很大的安全风险。那如何来防止黑客猜解或者爆破计算机服务器密码呢?
其实,要避免这一情况,通过组策略设置帐户锁定策略即可完美解决。此时当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该帐户锁定,在帐户锁定期满之前,该用户将不可使用,除非管理员手动解除锁定。
二、安全登录系统
1、远程桌面
远程桌面是比较常用的远程登录方式,但是开启“远程桌面”就好像系统打开了一扇门,合法用户可以进来,恶意用户也可以进来,所以要做好安全措施。
(1).用户限制
点击“远程桌面”下方的“选择用户”按钮,然后在“远程桌面用户” 窗口中点击“添加”按钮输入允许的用户,或者通过“高级→立即查找”添加用户。由于远程登录有一定的安全风险,管理员一定要严格控制可登录的帐户。
(2).更改端口
远程桌面默认的连接端口是3389,攻击者就可以通过该端口进行连接尝试。因此,安全期间要修改该端口,原则是端口号一般是1024以后的端口,而且不容易被猜到。
2、telnet连接
telnet是命令行下的远程登录工具,因为是系统集成并且操作简单,所以在计算机服务器管理占有一席之地。因为它在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。,并且其默认的端口是23这是大家都知道的。因此我们需要加强telnet的安全性。
3、第三方软件
可用来远程控制的第三方工具软件非常多,这些软件一般都包括客户端和计算机服务器端两部分,需要分别在两边都部署好,才能实现远控控制。一般情况下,这些软件被安全软件定义为木马或者后门,从而进行查杀。安全期间建议大家不要使用此类软件,因为使用此类工具需要对安全软件进行设置(排除、端口允许等),另外,这类软件也有可能被人植入木马或者留有后门,大家在使用时一定要慎重。
如下:
一、井下爆破工作必须由专职爆破工担任,所有从事井下爆破作业人员必须熟悉爆破材料性能,必须持证(爆破证和安全资格证)上岗。
二、入井前,爆破工必须对自己领用的炮器、便携仪等进行认真检查,保证仪器灵敏可靠。
三、放炮母线长度根据撤人距离要求必须符合以下规定:采煤工作面不少于50米;煤巷不少于75米;岩巷、半煤岩巷,不少于100米,且严禁出现明接头。
“三人联锁”放炮实施换牌时,应严格按下述程序进行。
1、爆破工在检查连线工作无误后,将警戒牌交给班组长,并将放炮母线与连线进行连接,最后离开放炮地点。
2、班组长接到警戒牌后,在检查顶部、支架、上下安全出口、风量、堵塞物、工具设备、洒水等放炮准备工作无误,符合放炮条件时,负责清点人数、布置警戒,组织人员撤到规定的安全地点躲避。警戒设置后,生产班组长将命令牌交给瓦检工。
3、瓦检工按规定检查瓦斯确认符合放炮条件,接到生产班组长放炮命令牌后,监督放炮警戒设置是否符合规定,检查无误后将放炮牌交给爆破工。
4、爆破工接到放炮牌后,要求生产班组长在一炮三检记录对应位置签上放炮意见及其姓名,爆破工检查无误后,爆破工将放炮母线与炮器连接准备放炮。放炮工作必须在通风良好、有掩护的安全地点进行。
5、放炮通电工作只能由爆破工一人完成。放炮前,爆破工要认真检查网路是否导通。在网路正常后,爆破工必须发出放炮警号,高喊数声“放炮”或鸣哨数声,至少再等5秒,方可放炮(放炮信号:一声停、二声放炮、三声撤除警戒)。
6、放炮后,爆破工必须立即取下炮器钥匙,并将放炮母线从电源上摘下,扭结成短路。
7、放炮后,待工作面炮烟被吹散,爆破工、瓦斯检查员和班组长必须首先巡视爆破地点,检查通风、瓦斯、煤尘、顶板、支架、拒爆等情况。如无异常,方可撤除警戒,通知警戒线以外人员返回,恢复工作,三牌各归原主。
云服务器的使用越来越广泛,愈加受到众多企业的青睐,那么,在使用过程时如何更好的做好防护措施呢?小蚁君来说说。
1.随时检查系统安全漏洞,安装系统补丁。不管是Windows还是Linux,操作系统都会有漏洞,及时装上补丁,避免被不法分子恶意利用攻击.
2.安装并升级杀毒软件。目前网络上的病毒越加猖獗,随时会影响到网站服务器的安全,因此,系统要安装上杀毒软件来提前预防病毒的传播,并定期检查升级杀毒软件,自动更新病毒库。
3.定期对服务器数据进行备份。为预防突发的系统故障而导致的数据丢失,平时就要定期对系统数据进行备份,同时,重要的系统文件建议存放在不同的服务器上,以便系统出故障时能将损失降到最低。
4.定期对账号密码进行修改保护。账号和密码保护可以说是服务器系统的第一道防线,目前大部分对服务器的网络攻击都是从密码开始的,一旦不法分子截获了密码,那么前面所做的所有安全防护措施都将失去了作用。
5.关闭不常用的服务和端口。服务器操作系统在安装时,会启动一些不需要的服务,不仅占用了系统的资源,还会增加系统的安全隐患。因此,定期检查系统运行中的软件和服务,没有使用的就关闭掉。
做了那么多,那么要怎么样才能避免一些低级的黑客攻击呢?
小蚁君网络了一些方法以及应对的措施
常见攻击手段
1、针对网站
1.1、SQL注入
sql注入也是老生常谈了,基本上算是常识了,这种手段无非是利用后台漏洞通过URL将关键SQL语句带入程序并在数据库中执行从而造成破坏性结果。常见情况包括后台使用了的致命的字符串拼接,比如在java的jdbc中使用如下写法
String sql = "select * from t_user where username = "+username;
1
如果入参username在url中被换成不怀好意的sql语句或者其他,数据库也就危险了。
localhost:8080/testproj/queryUser?username=;drop%20t_user;
此外,类似的mybatis的${}写法也是同样道理,最好换成#。
1.2、后台框架、协议漏洞
1.3、程序逻辑漏洞
这个就需要黑帽子们比较有耐心,去一点点找出来,举个例子,网站有效性校验。针对数值有效性,前端有进行过滤,但是网站后台没有做参数有效性校验,这时候恶意者使用F12或postman等拼装ajax请求,将dfa或者-1ad这种非法数字发送给后台,健壮性差的程序就很容易报错,异常暴露到页面上,瞬间就能让操作者知道后台使用何种语言何种框架。更严重的可能是利用程序逻辑漏洞做重复提交、越权操作等行为,因此需要开发人员注意。
1.4、CSRF攻击
;password=123456role=1
这个时候浏览器还携带着管理员登录的cookie因此该行为得到执行,我就获得了一个管理员用户,当然这么蠢的网站一般是不存在的,这里只是打个比方。
防范手段比较常见的是url携带token进行校验,这种手段还可以防御cookie被篡改,盗用等情况,相当的万金油。
1.5、暴力破解
直接采用密码表暴力破解方式强行登录管理员账户,这个没啥技术含量,开发人员做好验证码校验以及恶意攻击校验,频繁请求IP封禁即可。
2、针对服务器
2.1、服务器登录用户、数据库登录用户爆破
黑帽子有多种手段确定后台数据库,比如1.3中直接让后台报错,很容易就发现了后台使用的什么框架,连得啥库。又或是使用nmap 等工具直接开扫,目标服务器暴露3306端口大概率就确定是mysql了。确认了数据库类型以及端口接下来就是采用密码表暴力破解了,很多安全意识差的密码居然还是root,123456之类的,分分钟被暴,而扫到后台服务器22开放端口也可以确认后台服务器使用linux开放ssl登录。所以应对方式有三种:
mysql限制访问IP,这个利用alter user语句就可以做到,root账户尽量只给localhost权限,慎用user@%;
不要使用弱密码,尽量采用字母+数字+特殊字符的密码;
服务器使用放暴力破解服务,可以针对非法访问恶意操作进行锁IP防御。
2.2、服务器端口漏洞
通过nmap很容易扫描到服务器暴露的端口,比如139端口外露,就有大量的手段可以渗透:
net use ipipcContent
nbsp;”” /user:administrator
所以应对手段也很简单,开启防火墙,且只开放有需要的端口,敏感端口如139,445不要外露。
2.3、操作系统漏洞
虽然大部分公司都采用linux作为服务器,相对安全得多,但是还是有不少公司(至少博主见过挺多的)还在使用windows server,大量的漏洞让服务岌岌可危,应对方式也很简单粗暴,该打的补丁就打,不要偷懒。
2.4、木马植入
这个就是黑客直接通过向服务器种植木马,开启后门,取得服务器控制权,应对方式主要以下三点:
1、不要用服务器访问乱七八糟的网站(尤其是公司服务器在国外的,不要想着借来翻墙了,别作死),下载乱七八糟的东西;
2、实体机的移动外设接入前注意杀毒;
3、服务器安装相应安全产品,定期查杀木马,定期更新漏洞补丁;
4、防火墙注意开启,相应端口注意配置。
做到以上几点,基本上中级以下的黑客是进不来了,就算是中高级的黑客也得费一番功夫。当然,如果公司服务器数据涉及资产非常高,建议直接联系小蚁君