暴力破解
暴力破解入侵路径
案例:某国际会展中心遭到勒索攻击,安全团队溯源时发现黑客是通过远程桌面入侵进行的投毒。现场发现当时所用安全终端被直接卸载,且清除了系统中入侵时段的日志记录。
安全建议:设置强密码,并定期修改密码;关闭不必要端口,如:135,139,445,3389等;及时异地备份重要数据;采用多重密码防护措施,如火绒企业版中心启用“管理员密码保护”、“终端卸载密码保护”、“终端动态认证”;开启勒索诱捕功能,开启系统防御功能等。
漏洞攻击
漏洞攻击入侵路径
案例:某公司反馈服务器中勒索病毒,火绒工程师溯源时未发现暴破登录等日志,没有强行破坏系统环境的痕迹,同时发现中毒服务器存在 Apache Kafka业务,且版本存在Apache Log4j2反序列化远程代码执行漏洞(CVE-2021-44228)。判断黑客通过该漏洞入侵导致中毒。
火绒安全建议:定期更新业务软件版本;修复操作系统、软件漏洞,安装最新补丁;采用高强度的密码,避免使用弱口令密码和统一密码,并定期更换密码;对重要文件和数据进行离线备份或者异地备份;开启勒索诱捕功能,增强终端对勒索病毒的防护。
密码泄露
密码泄露导致入侵
案例:某医院反馈有大量横向渗透拦截日志,经火绒安全工程师远程排查后,确定为一台服务器对其他多台服务器进行的攻击。停用该攻击服务器后,远程溯源发现无暴破相关痕迹,但有Administrator远程登录成功日志,且该服务器部署在公网,登录密码为中高强度。判断为密码泄露导致。
火绒安全建议:不自动“保存密码”且杜绝一码多用,避免通过第三方平台登录;定期杀毒、打补丁,不用盗版/破解版软件,不随意使用公用WIFI;可使用密码管理器工具;使用平台提供的多重认证方式,如火绒企业版“终端动态认证”功能;加强用户账户使用策略与账户管理等。
原创文章,作者:lishengli,如若转载,请注明出处:http://www.lishengli.com/lee/1457.html