原创： coffee 合天智汇

1、帐户安全重要性

提到帐户的安全性我相信这是一个大家都会引起注意的话题，每年基于帐户安全的攻击多之又多，所以保护用户帐号密码和资料是至关重要的。渗透用户帐户是黑客最常用的攻击方式之一，一旦黑客获取到受害者的帐户密码，那么将会发生一系列不可想象的后果（如：黑客可将受害的敏感信息进行交易获取利益；黑客可通过帐户进行敏感信息的收集，从而可进一步渗透到内网，严重的可以直接拿到整个网络的管理权等）。

2、帐户安全风险分析2.1技术类风险▲▲▲

 2.1.1基线配置不完善

2.1.2黑客暴力破解获取帐户信息

虽然按基线要求配置的情况下系统的安全性会得到一定的保障，但是黑客还是能通过强大的字典库，通过暴力破解的方式进行攻击，从而进入系统。暴力破解的基本思想是根据题目的部分条件确定答案的大致范围，并在此范围内对所有可能的情况逐一验证，直到全部情况验证完毕。若某个情况验证符合题目的全部条件，则为本问题的一个解；若全部情况验证后都不符合题目的全部条件，则本题无解。

暴力破解有两种模式：<1>在线模式：攻击者必须使用和用户应用程序相同的登录入口；<2>与在线模式相对的是离线模式：攻击者需要首先窃取密码文件，然后通过任意的应用程序或相关网络对密码文件进行不受约束的破解尝试。

暴力破解攻击案例-iCloud艳照门

好莱坞女星“艳照门”事件发生后，苹果公司作出回应，称公司技术人员经过40小时调查后确认，黑客并没有直接进入iCloud等存储服务系统，而是侵入女星个人帐户，从而窃走照片。苹果在一份声明中说：“我们已经发现，某些名人帐户（安全性）受到损害，用户的用户名、密码和安全问题受到非常有针对性的攻击，这是网络上常见的手段。”iCloud艳照门其实并不高明，黑客通过暴力破解攻击不断尝试用户的帐号名和密码，最终获取好莱坞明星的iCloud帐号。

2.2.1社会工程学简介

1、假托（pretexting）是一种制造虚假情形，以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专用术语的研究，以建立合情合理的假象。

2、网络钓鱼（phishing）

3、在线聊天/电话钓鱼（IVR/phone phishing，IVR: interactive voice response）

4、下饵（Baiting）

5、等价交换（Quid pro quo）-攻击者伪装成公司内部技术人员或者问卷调查人员，要求对方给出密码等关键信息。在2003年信息安全调查中，90%的办公室人员答应给出自己的密码以换取调查人员声称提供的一枝廉价钢笔。后续的一些调查中也发现用巧克力和诸如其他一些小诱惑可以得到同样的结果（得到的密码有效性未检验）。攻击者也可能伪装成公司技术支持人员，“帮助”解决技术问题，悄悄植入恶意程序或盗取信息。

6、尾随（Tailgating）

社会工程学攻击案例-SpiderLabs实验室诱饵攻击

安全公司Trustwave的SpiderLabs实验室做了一系列社会工程学的实验，使用了社工经典的手法，证明这些手法仍然非常有效，利用人的好奇心获得了需要的信息。

详细过程：首先SpiderLabs收集了目标公司员工名单信息，包含姓名、住址等，然后决定使用让用户更新自己的杀毒软件的方法进行攻击。SpiderLabs提供了一个社工中攻击的经典模板，并与U盘或CD光盘一起寄送给目标用户，模板内容如下：

在此类攻击中，SpiderLabs表示通常使用的U盘，这些“防病毒更新”程序都是特殊定制的木马软件。在本次实验中总共寄出去15个包，其中1个用户中标。

在另外一个实验中，SpiderLabs在目标公司的停车场扔了两个U盘，在大楼前的人行道上又扔了一个U盘。几天后，该公司的某管理人员就在计算机上插入了该U盘，通过用户名得知该用户为看门老大爷，虽然没有权限接入到该公司的核心系统，但是SpiderLabs可以通过该计算机来控制一些出入口、摄像头等。

3、风险预防措施

风险预防措施主要应对技术类风险，由于系统管理员技术能力有限或安全意识薄弱，没有按照基线配置中的要求进行设置，这就导致攻击者很容易利用弱口令进入系统，从而导致服务器被攻陷。对于技术类风险首先应当完善基线配置（注：帐户安全相关基线配置详见附件一），在基线配置完成后采用DenyHost工具来进行暴力破解的防御。DenyHost会分析sshd的日志文件（/var/log/secure），当发现重复的攻击时就会记录IP到/etc/hosts.deny文件，达到自动屏蔽攻击IP的功能（注：DenyHost工具的使用手册详见附件二）。

4、风险补偿措施

第一行：Lastfailed login 上次登录失败的帐户名、登录时间、登录IP

第二行：failedlogin attempts 自从上次成功登录后的失败尝试次数

第三行：Lastlogin  上次本帐号登录成功的登录时间、登录IP

2. 定期使用last命令，审查帐户登录时间及IP；

3. 查看发起攻击的IP和攻击次数。

# cat /var/log/secure | awk '/Failed/{print $(NF-3)}' | sort | uniq-c | awk '{print $2" = "$1;}'

4.2泄漏帐户应急响应▲▲▲

4.2.1数据的收集

记录系统时间和日期

使用date命令记录系统时间和日期

确定哪些人登录到该系统

使用w命令显示登录到当前系统的所有用户

记录所有文件的访问、修改时间以及inode更改时间

ls –alRu / > /floppy/atime

ls –alRc / > /floppy/atime

ls –alR / > /floppy/atime

确定打开的端口

使用netstat–an命令进行查看

列出与打开端口相关的应用程序

在linux下使用netstat命令，使用-p参数。netstat–anp

在UNIX下使用lsof命令。lsof–i 列出打开网络套接字的进程

列出所有正在运行的进程

在FreeBSD和linux中使用ps–aux查看进程。

在solaris中使用ps–eaf查看进程

列出所有当前和最近的连接

使用netstat命令查看当前和最近的连接信息

4.2.2数据的分析

审查相关日志

日志包括：网络日志、主机日志、用户操作记录

搜索关键词

使用grep命令进行搜索

审查相关文件

文件包括：事件时间戳、特殊文件（SUID与SGID）

识别未授权用户帐号或用户组

包括用户帐户与组帐户调查

识别恶意进程

使用netstat等工具检查系统侦听端口及运行的进程

检查未授权的访问点

检查系统中安装的网络服务，包括telnet、finger、rlogin、tftp等网络服务，分析可能的入侵点。

分析信任关系

分析系统的信任关系，查找可能的入侵点。

检查内核模块rootkits

使用chkrootkit工具检测系统中可能存在的rootkit、蠕虫和LKM等恶意程序。

4.2.3异常的处理

若帐号上次登录时间或ip异常，应立即更改帐户密码，另外配合lastlog、last、w、/etc/passwd等命令确定帐户使用情况，删除黑客建立的帐户。当然，直接停用异常帐号，会比更改帐号密码的安全性更高一些，但需考虑旧帐户是否与业务有依赖关系。

4.2.4异常后续跟踪

确定黑客入侵途径，修补薄弱项。比如定期更新系统补丁等；

简单加固，实现简单基线，比如避免弱密码等；

关心最新漏洞资讯。