产品描述

  近几年服务器安全防护慢慢的受到企业的重视，企业在选购时不再仅仅看重成本，还更看重安全性，因为一旦数据泄露，被暴力破解，将对公司业务造成毁灭性打击。鉴于人们对服务器安全性的看重，本篇文章就来测评一下市场上一款非常畅销的服务器操作系统——浪潮信息服务器操作系统云峦 KeyarchOS。

  在本次测评中，个人会使用三台已经安装了 KeyarchOS 系统的机器（以下简称 KOS 主机），由于 KOS 的防护功能要安设 EDR 安全工具（通过安装在 KOS 主机上的本地客户端（Agent）与管理中心联动，提供病毒木马、勒索软件、暴力破解等攻击的查杀防护功能，防御未知程序运行和关键业务文件篡改），我们的机器配置如下：

  src=另外在攻防演示时需要的病毒文件及程序也已经提前安装好了。下文会详细介绍。

  在暴力破解中，攻击人员经常会使用一些工具来扫描，攻击我们的服务器了。使用这工具进行扫描漏洞，使用字典不断试出密码。

  我们在 B 主机安装要使用 hydra 工具，并编写用于攻击的脚本hydra.sh。

  该脚本将会攻击我们的主机 A（安装了 EDR ） 和主机 C（未安装 EDR ）。

  以上的命令是使用 hydra 工具进行 SSH 密码破解。下面是命令中各选项的详细解释：

  hydra: 这是要使用的工具，hydra 是一个开源的、命令行下的多线程密码破解工具，可拿来破解各种服务的密码，包括 SSH、FTP、HTTP 等。

  -l root: 这表示使用 root 作为用户名进行尝试。你可以替换 root 为任何你想要尝试的用户名。

  -P pass_30.txt: 这表示使用 pass_30.txt 文件作为密码源。这一个文件应该包含了你想要尝试的所有可能的密码。注意，这一个文件需要在当前工作目录下，或者你需要出示完整的文件路径。

  -t 4: 这表示使用 4 个线程进行破解。你能够准确的通过需要增加或减少线程数。

  -I ssh:// [ 主机 C IP ] 这是你要破解的目标服务器的地址。在这个例子中，目标服务器是位于 IP 地址 [ 主机 C IP ] 的 SSH 服务。注意，在 IP 地址前需要加上 ssh://。

  src=从日志中我们大家可以看到，主机 B 向主机 A 发起的破解，被拦截下来，是因为主机 A 安装了 EDR 。

  最近有一些人利用工具扫描服务器漏洞，利用扫描出的漏洞，上传文件，进行远程操作机器，我们熟知的挖矿病毒就是这样一类程序。

  首先在主机 A，主机 B 上准备好上传文件的程序。打开浏览器，访问页面这是一个上传文件的页面。如下图：

  在安装了 EDR agent 的机器 A 上，上传病毒文件，直接显示上传失败

  能够看到 主机 B ( 未安装 EDR ) 在测试靶机反弹成功，到了这一步，主机 B 已经执行了上传的 shell.sh 脚本。

  我们在机器 A 和机器 B 上分别执行勒索病毒脚本，该勒索病毒会加密我们的 doc 文件。

  我们使用加密病毒 testransomware 来对某个文件夹下的 doc 文件进行加密。

  查看 /opt/2csec 文件夹。查看文件，发现文件扩展名都已被修改。

  以上就是针对浪潮信息 KOS 做的一些安防测评，模拟了最常见的暴力破解，漏洞上传，和勒索病毒的防控。

  从大体上来讲在安装了 EDR 安全工具的 KOS 主机上，都能够准确无误地识别并拦截成功。