ftp 破解 暴力破解ftp口令

0x00前言FTP是一种文件传输协议，用户可以通过它从客户端程序向远程主机上传或下载文件。常用于网站代码维护和日常源码备份。如果攻击者通过FTP匿名访问，或者通过弱密码获得FT

FTP是一种文件传输协议，用户可以通过它从客户端程序向远程主机上传或下载文件。常用于网站代码维护和日常源码备份。如果攻击者通过FTP匿名访问，或者通过弱密码获得FTP权限，就可以直接上传webshell，进一步渗透和认领权力，直至控制整个网站服务器。

从昨天开始，网站的响应速度变得很慢，登录时网站服务器非常卡。重启服务器可以保证一段时间的正常访问。网站的响应状态时快时慢，大部分时间都是慢的。针对网站服务器异常，系统日志，网站日志，是我们调查处理的重点。查看Window安全日志，我们发现大量登录失败记录:

安全日志分析:

安全日志记录事件审计信息，包括用户身份验证(登录、远程访问等。)以及特定用户在认证后对系统做了什么。

打开安全日志，点击右侧过滤当前日志，在事件ID中填写4625，事件ID为4625，事件数量为177007。从这个数据可以看出，服务器规则被暴力破解了:

进一步使用Log Parser对日志中提取的数据进行分析，发现攻击者使用了大量用户名进行blast，如用户名:FXX，进行了17826次密码尝试。攻击者基于域名信息“FXX”，构建了一系列用户名字典，有针对性地进行爆破，如下图所示:

这里，我们注意到登录类型是8。让我们看看登录类型8是什么意思。

登录类型8: NetworkCleartext

这种登录表示这是一种类似于Type 3的网络登录，但是这种登录的密码是通过明文在网络上传输的。不允许WindowsServer服务通过明文身份验证连接到共享文件夹或打印机。据我所知，这种登录类型只有在使用Advapi从ASP脚本登录或者用户使用基本身份验证登录IIS时才会出现。Advapi将在“登录过程”列中列出。

我们推测可能是FTP服务。通过检查端口服务和采访管理员，我们确认服务器确实向公共网络开放了FTP服务。

另外，日志并没有记录暴力破解的IP地址。我们可以使用Wireshark来分析捕获的流量，并获得正在被攻击的IP:

通过对近期管理员登录日志的分析，如下:

管理员正常登录，未发现登录时间和ip异常。这里的登录类型是10，这意味着远程管理桌面登录。

另外，通过查看FTP站点，发现只有一个测试文件，与站点目录不在同一个目录下，进一步验证了FTP暴力破解并不成功。

应急措施:1。关闭外部网络2的FTP端口映射。删除本地服务器的FTP测试。

FTP暴力破解还是很常见的。如何保护服务器免受暴力破解攻击，本文总结了几种措施:

1、禁止使用FTP传输文件，若必须开放应限定管理IP地址并加强口令安全审计（口令长度不低于8位，由数字、大小写字母、特殊字符等至少两种以上组合构成）。2、更改服务器FTP默认端口。3、部署入侵检测设备，增强安全防护