如何开通防暴力破解功能?

您可以参考以下步骤开通防暴力破解功能。更多详细信息请参见配置防暴力破解规则
  1. 安全风险处理页面单击防暴力破解右侧的立即处理,进入安全告警设置 > 防暴力破解配置界面。安全风险处理
  2. 防暴力破解页面在将鼠标移置灰色的添加按钮上,弹出授权提醒,根据界面提示完成授权。防爆力破解授权
  3. 完成授权后,单击添加配置防暴力破解规则。添加防暴力破解规则
  4. 参考下表完成添加防暴力破解规则参数设置。配置防暴力破解规则参数
    参数 说明
    防御规则名称 可自定义规则名称。
    防御规则 设置某个时间范围(支持选择1分钟、2分钟、5分钟、10分钟、15分钟)内登录失败次数超过限定次数(支持选择2次、3次、4次、5次、10次、50次、80次、100次),禁止登录时长(支持选择5分钟、15分钟、30分钟、1小时、2小时、6小时、12小时、24小时、7天、永久)

    例如:1分钟内登录失败次数超过3次,禁止登录30分钟

    请选择对应的服务器 设置防御规则生效的服务器。支持直接选择云安全中心防护的服务器,或根据服务器名称/IP筛选指定服务器。
    设置为默认策略 设置该防御规则是否为默认策略。
  5. 单击确定。

被暴力破解成功之后该怎么处理?

如果您的服务器密码被暴力破解成功,攻击者很有可能已经入侵并登录您的服务器并留下恶意程序,建议您采取以下步骤加固您的服务器安全:
  • 修改服务器用户密码

    请尽快更换您服务器被暴力破解成功的用户密码,建议您使用复杂密码。

  • 使用云安全中心基线检查功能进行风险检测
    使用云安全中心的基线检查功能全面检测您的服务器安全,并根据建议处理风险项。
    说明 基线配置检查功能仅在云安全中心企业版中提供。
  • 重置您的服务器,并加固服务器安全

    参考ECS安全部署方法,加固您的服务器安全。

为什么修改22端口后仍然出现密码暴力破解提示?

如果您将Linux服务器上的SSH服务的默认端口从22修改为其它端口,您仍然可能收到云安全中心安全告警功能提示的密码暴力破解告警信息。

云安全中心异常登录事件检测会根据尝试登录SSH服务的频繁度,检测是否存在暴力破解攻击行为。因此,即使您已修改SSH服务的默认端口,当恶意攻击者尝试暴力破解您的SSH服务时,云安全中心仍然能正常检测到攻击行为并为您提示告警信息。

如果您的服务器被暴力破解成功,建议您及时对服务器进行安全加固。详细内容请参见被暴力破解成功之后该怎么处理?

为什么安全组或者防火墙规则已经屏蔽了RDP服务的3389端口,但RDP还是有被暴力破解的记录?

由于Windows登录审核机制的原因, $IPC 、RDP、SAMBA服务的登录审核过程被记录在同一个日志里面,且未区分具体登录方式。所以,在已经屏蔽了RDP服务端口还出现RDP被暴力破解记录时,您需要检查是否还开启了其它两个服务。

检查方法是查看ECS是否有监听135、139、445等端口并且外网IP均可访问,并且查看Windows安全类日志是否在该时段有对应的登录记录。

ECS登录弱口令是指系统层面的RDP或者SSH扫描吗?

弱口令包含两种,一种是RDP和SSH的弱口令,一种是类似CMS管理员后台登录的弱口令。

如何处理SSH、RDP远程登录被拦截?

如果您发现当前IP无法远程连接(SSH、RDP)云上服务器,您可以在安全管控管理控制台将登录IP加入到服务器白名单,防止其访问服务器时被拦截。

参照以下步骤,将登录IP地址添加到服务器白名单:
  1. 登录云安全中心控制台
  2. 在左侧导航栏单击设置,在设置页签中的安全管控模块,单击设置,跳转到安全管控管理控制台。安全管控跳转入口
    说明 您也可以将鼠标移至阿里云管理控制台右上角的账户图标,在悬浮菜单中单击安全管控进入安全管控管理控制台。安全管控入口
  3. 在安全管控管理控制台左侧导航栏,定位到白名单管理 > IP白名单页面,单击添加
  4. 源IP文本框中输入需要加入IP白名单的IP地址,并配置允许该IP地址登录的服务器。从左侧服务器框中选择目标服务器(可多选),并单击右向箭头,将其添加到右侧白名单配置生效的已选服务器框中。添加IP地址
  5. 配置完成后,单击确定