本文匯總了檢測響應的常見問題。
Rootkit告警支持實時檢測嗎?
不支持。
云安全中心通過定時任務,觸發(fā)對內存的掃描,來判斷是否存在Rootkit威脅。如果存在Rootkit威脅,會產生Rootkit告警。Rootkit檢測詳細信息,請參見檢測Linux Rootkit入侵威脅。
如何判斷資產中是否存在挖礦威脅?
如果您服務器的CPU使用率明顯升高,例如達到80%以上,并且出現(xiàn)未知進程持續(xù)向外發(fā)送網絡包的情況,可以判定您的服務器中存在挖礦威脅。
云安全中心防護的資產被挖礦程序入侵時,云安全中心會向您發(fā)送告警短信或郵件,您可以在安全告警處理頁面處理挖礦事件告警。挖礦程序如果關聯(lián)了其他告警事件,例如礦池通信行為、訪問惡意域名等,建議您一并處理關聯(lián)的告警事件。如何查看和處理關聯(lián)告警,請參見查看安全告警。
未開啟病毒攔截,我的服務器遭受挖礦攻擊,該如何處理?
您可以參考以下步驟處理挖礦告警并開啟惡意主機行為防御能力。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區(qū)域:中國或全球(不含中國)。
在左側導航欄,選擇。
在安全告警處理頁面,定位到相應告警,單擊其操作列處理。
在彈出的提示框,選擇病毒查殺、結束進程并隔離源文件或結束該進程的運行。
單擊立即處理,完成挖礦告警事件處理。
在左側導航欄,選擇。
在功能設置頁面,定位到設置頁簽主機防護設置子頁簽的主動防御區(qū)域,打開惡意主機行為防御開關,開啟病毒攔截功能。
我不小心將挖礦告警加入了白名單,該如何取消?
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區(qū)域:中國或全球(不含中國)。
在左側導航欄,選擇。
在安全告警處理頁面,將篩選條件改為已處理,可以看到已經處理過的全部告警。
定位到相應告警,單擊其操作列取消白名單,即可恢復該告警。
如何確認病毒自動攔截已生效?
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區(qū)域:中國或全球(不含中國)。在功能設置頁面開啟了惡意主機行為防御功能后,在左側導航欄,選擇。在安全告警處理頁面,單擊精準防御,如果篩選出的告警防御狀態(tài)為攔截成功,說明病毒自動攔截已生效。
云安全中心如何發(fā)現(xiàn)黑客入侵行為?
云安全中心發(fā)現(xiàn)的所有黑客入侵行為,是通過掃描檢測和阿里云安全工程師分析客戶流量數(shù)據(jù)并加以驗證得出的。
常見的黑客入侵行為有哪些?
云安全中心提供的告警檢測項已經覆蓋了常見的黑客入侵行為,包括后門、暴力破解、挖礦等。詳細內容,請參見安全告警類型列表。
phpinfo為什么會產生告警,是否為誤報?
不是誤報。
phpinfo包含大量敏感信息,例如網站絕對路徑等,具有較高的風險性,可能存在被黑客利用的風險。大部分黑客第一步都會上傳phpinfo從而為進一步滲透獲取更多信息。如果您確認該文件是您業(yè)務所需的正常文件,您可以登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區(qū)域:中國或全球(不含中國)。在左側導航欄,選擇。在安全告警處理頁面處理該告警時選擇加入白名單。
是否可以自動隔離WebShell文件?
不可以。由于WebShell文件可能涉及您業(yè)務方面的信息,需要您判斷后手動隔離。被隔離的文件可以在文件隔離箱中找到,且30天內可以恢復。關于文件隔離箱的更多信息,請參見查看和恢復隔離文件。
云安全中心WebShell檢測的原理是什么?
云安全中心采用以下掃描方式,檢測PHP、ASP、JSP等類型的網站腳本文件。
落盤掃描:指文件上傳或下載到服務器上,被感知到了落盤行為從而進行的文件掃描檢測,發(fā)現(xiàn)惡意的文件時上報告警。
實時監(jiān)測Web目錄。
定時掃描Web目錄。
安全告警可以將哪些對象加入白名單?
安全告警處理功能支持對惡意軟件類的告警進行加白名單的操作。加入白名單操作僅針對當前告警事件中的訪問源進行加白。支持加入白名單的告警類型詳見以下表格。
告警類型 | 加白對象 |
惡意軟件 | 基于文件MD5值加白 |
異常登錄 | 對異常登錄的IP加白 |
訪問惡意IP、礦池通信行為 | 基于IP加白 |
訪問惡意域名 | 基于域名加白 |
訪問惡意下載源、主動連接惡意下載源 | 基于URL加白 |
WebShell | 基于Web目錄配置加白 |
惡意腳本 | 基于MD5和路徑加白 |
云產品威脅檢測 | 支持在控制臺配置加白規(guī)則 |
進程異常行為 | 基于命令行加白 |
持久化后門 | 基于文件MD5和特征加白 |
敏感文件篡改 | 基于文件路徑加白 |
應用入侵事件 | 基于命令行加白 |
Web應用威脅檢測 | 基于域名或URL加白 |
異常網絡連接 | 基于進程命令行、目標IP、目標端口加白。如果有部分字段缺失,僅對已有字段加白。 |
為什么某些告警狀態(tài)為已過期數(shù)據(jù)?
如果告警最后一次發(fā)生時間距離現(xiàn)在超過30天,云安全中心會將該告警狀態(tài)置為已過期。如果后續(xù)再次檢測到該告警發(fā)生,云安全中心會更新該告警發(fā)生時間為最新檢測到的時間,并將該告警的狀態(tài)置為未處理。
為什么可疑域名訪問告警首次發(fā)生時間和檢出時間不一致?
云安全中心在接收到DNS解析數(shù)據(jù)時,需要使用算法對DNS解析數(shù)據(jù)做分析和處理,且收到的DNS解析數(shù)據(jù)本身也會存在一定的延遲。故可疑域名訪問告警的首次發(fā)生時間會比檢出時間晚,該時間差在5個小時內為正常情況。
云安全中心檢測和告警異常登錄功能的原理是什么?
在服務器安裝Agent后,云安全中心異常登錄功能可以檢測您服務器上的登錄行為,并對非常用登錄地的登錄行為進行告警。在云安全中心控制臺安全告警處理頁面,可以查看服務器登錄異常相關告警。
云安全中心Agent通過定時收集您服務器上的登錄日志并上傳到云端,在云端進行分析和匹配。如果發(fā)現(xiàn)在非常用登錄地或非常用登錄IP、非常用登錄時間、非常用登錄賬號的登錄成功事件,將會觸發(fā)事件告警。以下內容說明如何判定不同IP的具體登錄行為:
當云安全中心首次應用于您的服務器上時,由于服務器未設置常用登錄地,這段期間內的登錄行為不會觸發(fā)告警。
當某個公網IP第一次成功登錄服務器后,云安全中心會將該IP地址的位置記為常用登錄地,并將從該時間點往后順延24小時內的所有公網登錄地都記為常用登錄地。當超過24小時后,所有不在上述常用登錄地的登錄行為均被視為異地登錄進行告警。
當某個IP被判定為異地登錄行為,只會有第一次登錄行為進行短信告警。如果該IP成功登錄6次或6次以上,云安全中心默認將此IP的地點記錄為常用登錄地。
說明異地登錄只針對公網IP生效。
以下是關于非常用登錄IP登錄的告警策略:
云安全中心會對某個異地IP的第一次登錄行為進行短信告警。如果該IP持續(xù)登錄,則只在控制臺進行告警,直到該IP地址登錄滿6次被自動記錄為常用登錄地。
如果您使用的是云安全中心高級版、企業(yè)版或旗艦版,您可以針對服務器設置常用登錄地、常用登錄IP、常用登錄時間、常用登錄賬號,對上述常用登錄地、常用登錄IP、常用登錄時間、常用登錄賬號之外的登錄行為均提供告警。您自定義的登錄規(guī)則生效優(yōu)先級高于異地登錄判斷。
云安全中心支持哪些異常登錄告警?
支持異常登錄告警的檢測項如下:
惡意IP登錄(服務器、FTP應用、MySQL、SQL Server等)
后門賬戶登錄
弱口令賬戶登錄
疑似對外發(fā)起登錄掃描活動
異常位置登錄
異常賬戶登錄
ECS被暴力破解成功(多個無效用戶、RDP、SSH)
ECS登錄后執(zhí)行異常指令序列(SSH)
ECS非常用的時間、登錄地、賬號和IP的登錄
以上告警檢測項的檢測原理的詳細內容,請參見安全告警檢測項說明。
正常登錄服務器,云安全中心提示異常登錄,如何避免這種情況?
通過使用云安全中心控制臺安全告警處理頁面的安全告警設置功能,設置常用登錄地、登錄IP、時間及賬號,支持對于例外的登錄行為進行告警。支持手動添加和自動更新常用登錄地,對指定資產的異地登錄行為進行告警。
誤操作觸發(fā)了ECS被暴力破解登錄告警,我該怎么辦?
由于服務器密碼復雜度較高,可能會存在多次輸錯ECS服務器登錄密碼后,才成功登錄服務器的情況。該行為會被云安全中心的防暴力破解模型判定為ECS密碼被暴力破解,并產生ECS被暴力破解登錄告警。您在確認是誤操作觸發(fā)該告警后,可以忽略該告警。忽略告警的具體操作,請參見查看和處理安全告警。
設置了常用IP、時間及賬號,正常登錄時提示異常登錄怎么辦?
這種情況應先判斷告警類型是否為非合法IP登錄、在非常用地登錄還是非常用賬號登錄。登錄IP、登錄地、賬號、時間都是影響登錄告警的因素,不存在優(yōu)先級關系,只要其中一個因素存在異常,都會觸發(fā)告警。
產生異常登錄告警時,登錄是成功了還是被攔截了?
產生異常登錄告警表示已經登錄成功,但是這個登錄行為被云安全中心判定為可疑行為,所以產生該可疑行為的告警事件。
異常登錄告警已確定為黑客登錄,我該怎么辦?
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區(qū)域:中國或全球(不含中國)。在左側導航欄,選擇。在安全告警處理頁面,定位到該告警并單擊操作列的處理,選擇阻斷12小時并單擊立即處理,即可立馬阻斷該黑客的入侵。建議您立即修改密碼,并檢查服務器是否存在其他未知賬號和其他未知公鑰,防止SSH免密登錄。
出現(xiàn)ECS登錄后執(zhí)行異常指令序列(SSH)告警時,該操作是否已經被執(zhí)行?
該命令已經被執(zhí)行,請您及時更新服務器登錄密碼,并檢查服務器是否有其他異常行為,例如啟動了未知進程。
發(fā)生異常登錄告警時,對應服務器應該查看什么日志?
您可以查看服務器/var/log/secure目錄下的信息。例如執(zhí)行命令grep 10.80.22.22 /var/log/secure。
如何查看服務器被暴力破解的次數(shù)或攔截情況?
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區(qū)域:中國或全球(不含中國)。在左側導航欄,選擇。在攻擊分析頁面,可以查看SSH暴力破解攔截成功的信息。
如何預防服務器被暴力破解?
您可以通過設置常用登錄IP或采取證書登錄方式,避免該情況發(fā)生。設置常用登錄IP的方法,請參見安全告警設置。
誤操作導致防暴力破解生效怎么辦?
如果在設置了防暴力破解規(guī)則后,由于登錄失敗次數(shù)太多,導致防暴力破解規(guī)則生效,無法登錄服務器,您可以參考以下方法解除禁止登錄:
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區(qū)域:中國或全球(不含中國)。在左側導航欄,選擇。在安全告警處理頁面,單擊生效IP攔截策略/全部策略下的數(shù)字,在IP規(guī)則策略庫面板,找到對應的攔截規(guī)則,將該規(guī)則的策略狀態(tài)置為已禁用。
防暴力破解支持防護Web應用或網站嗎?
不支持。
防暴力破解支持對使用RDP和SSH協(xié)議登錄的服務器進行防護,不支持防護Web應用或網站。
被暴力破解成功之后該怎么處理?
如果您的服務器密碼被暴力破解成功,攻擊者很有可能已經入侵并登錄您的服務器并留下惡意程序。您可以登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區(qū)域:中國或全球(不含中國)。在左側導航欄,選擇。在安全告警處理頁面查看是否存在暴力破解成功相關的告警。
如果您的資產中存在ECS被暴力破解成功類似告警,則表示您的相應服務器已被暴力破解成功,建議您盡快參考以下步驟加固您的服務器安全:
處理被暴力破解成功相關告警
在安全告警處理頁面,單擊告警操作列的處理,在告警處理頁面選擇阻斷后,單擊立即處理。云安全中心將為您生成安全組防御規(guī)則,攔截惡意IP的訪問。更多信息,請參見查看和處理安全告警。
修改服務器用戶密碼
請盡快更換您服務器被暴力破解成功的用戶密碼,建議您使用復雜密碼。
使用云安全中心基線檢查功能進行風險檢測
使用云安全中心的基線檢查功能全面檢測您的服務器安全,并根據(jù)建議處理風險項。
說明僅高級版、企業(yè)版和旗艦版支持基線配置檢查功能。
為什么修改弱口令后仍然出現(xiàn)密碼暴力破解告警?
修改后的弱口令在系統(tǒng)中生效的時間為T+1,在修改未生效的這段時間內,云安全中心仍會上報密碼暴力破解告警。例如,您在2023年01月15日10:00時修改了登錄密碼,基線檢測模型會在當天24:00左右采集修改后的登錄密碼信息并更新弱口令數(shù)據(jù)庫,異常登錄檢測模型在2023年01月15日24:00點之前在弱口令數(shù)據(jù)庫中加載的是修改前的密碼,所以在這個時間段密碼暴力破解告警仍會存在。
您在確認已修改弱口令且基線檢查未掃描出弱口令風險時,可以忽略該告警。
如果您的服務器登錄密碼已經被暴力破解,建議您及時對服務器進行安全加固。詳細內容,請參見被暴力破解成功之后該怎么處理?。
為什么安全組或者防火墻規(guī)則已經屏蔽了RDP服務的3389端口,但RDP還是有被暴力破解的記錄?
由于Windows登錄審核機制的原因, $IPC 、RDP、SAMBA服務的登錄審核過程被記錄在同一個日志里面,且未區(qū)分具體登錄方式。所以,在已經屏蔽了RDP服務端口還出現(xiàn)RDP被暴力破解記錄時,您需要檢查是否還開啟了其它兩個服務。
檢查方法是查看ECS是否有監(jiān)聽135、139、445等端口并且外網IP均可訪問,并且查看Windows安全類日志是否在該時段有對應的登錄記錄。
ECS登錄弱口令是指系統(tǒng)層面的RDP或者SSH掃描嗎?
弱口令包含兩種,一種是RDP和SSH的弱口令,一種是類似CMS管理員后臺登錄的弱口令。
如何處理SSH、RDP遠程登錄被攔截?
如果您發(fā)現(xiàn)當前IP無法遠程連接(SSH、RDP)云上服務器,您可以在安全管控管理控制臺將登錄IP加入到服務器白名單,防止其訪問服務器時被攔截。
參照以下步驟,將登錄IP地址添加到服務器白名單:
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產所在的區(qū)域:中國或全球(不含中國)。
在左側導航欄,選擇。
在設置頁簽的其它配置子頁簽,單擊安全管控區(qū)域的配置,跳轉至安全管控控制臺。
說明您也可以將鼠標移至阿里云管理控制臺右上角的賬戶圖標,在懸浮菜單中單擊安全管控進入安全管控管理控制臺。
在左側導航欄,選擇。
在IP白名單頁面,單擊添加。
在添加對話框,輸入源IP(需要加入IP白名單的IP地址),并配置允許該IP地址登錄的服務器。從左側服務器框中選擇目標服務器(可多選),并單擊右向箭頭,將其添加到右側白名單配置生效的已選服務器框中。
配置完成后,單擊確定。
攻擊分析頁面的數(shù)據(jù)來源是哪些產品?
攻擊分析頁面展示的數(shù)據(jù),是云安全中心自動為您識別并攔截基礎攻擊事件后統(tǒng)計的攻擊數(shù)據(jù)。這些攻擊數(shù)據(jù)是云安全中心防護的云資產的相關數(shù)據(jù)。您可以在資產中心頁面查看哪些資產是受到云安全中心防護的。