全部產品
Search

搜尋本產品

    Security Center:檢測響應常見問題

    文件中心

    Security Center:檢測響應常見問題

    更新時間:Nov 15, 2024

    本文匯總了檢測響應的常見問題。

    如何判斷資產中是否存在挖礦威脅?

    如果您伺服器的CPU使用率明顯升高,例如達到80%以上,並且出現未知進程持續向外發送網路包的情況,可以判定您的伺服器中存在挖礦威脅。

    Security Center防護的資產被挖礦程式入侵時,Security Center會向您發送警示簡訊或郵件,您可以在警報頁面處理挖礦事件警示。挖礦程式如果關聯了其他警示事件,例如礦池通訊行為訪問惡意網域名稱等,建議您一併處理關聯的警示事件。如何查看和處理關聯警示,請參見查看安全警示

    挖礦警示

    未開啟病毒攔截,我的伺服器遭受挖礦攻擊,該如何處理?

    您可以參考以下步驟處理挖礦警示並開啟惡意主機行為防禦能力。

    1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

    2. 在左側導覽列,選擇檢測響應 > 警報

    3. 安全警示處理頁面,定位到相應警示,單擊其操作處理

    4. 在彈出的提示框,選擇病毒查殺結束進程並隔離源檔案結束該進程的運行

    5. 單擊立即處理,完成挖礦警示事件處理。

    6. 在左側導覽列,選擇系統配置 > 功能設定

    7. 功能設定頁面,定位到設定頁簽主機防護設定子頁簽的主動防禦地區,開啟惡意主機行為防禦開關,開啟病毒攔截功能。

    我不小心將挖礦警示加入了白名單,該如何取消?

    1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

    2. 在左側導覽列,選擇檢測響應 > 警報

    3. 安全警示處理頁面,將篩選條件改為已處理,可以看到已經處理過的全部警示。

    4. 定位到相應警示,單擊其操作取消白名單,即可恢複該警示。

    如何確認病毒自動攔截已生效?

    登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)功能設定頁面開啟了惡意主機行為防禦功能後,在左側導覽列,選擇檢測響應 > 警報安全警示處理頁面,單擊精準防禦,如果篩選出的警示防禦狀態為攔截成功,說明病毒自動攔截已生效。精準防禦攔截成功

    Security Center如何發現駭客入侵行為?

    Security Center發現的所有駭客入侵行為,是通過掃描檢測和阿里雲安全工程師分析客戶流量資料並加以驗證得出的。

    常見的駭客入侵行為有哪些?

    Security Center提供的警示檢測項已經覆蓋了常見的駭客入侵行為,包括後門、暴力破解、挖礦等。詳細內容,請參見安全警示類型列表

    phpinfo為什麼會產生警示,是否為誤判?

    不是誤判。

    phpinfo包含大量敏感資訊,例如網站絕對路徑等,具有較高的風險性,可能存在被駭客利用的風險。大部分駭客第一步都會上傳phpinfo從而為進一步滲透擷取更多資訊。如果您確認該檔案是您業務所需的正常檔案,您可以登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)在左側導覽列,選擇檢測響應 > 警報安全警示處理頁面處理該警示時選擇加入白名單

    是否可以自動隔離WebShell檔案?

    不可以。由於WebShell檔案可能涉及您業務方面的資訊,需要您判斷後手動隔離。被隔離的檔案可以在檔案隔離箱中找到,且30天內可以恢複。關於檔案隔離箱的更多資訊,請參見查看和恢複隔離檔案

    Security CenterWebShell檢測的原理是什嗎?

    Security Center採用以下掃描方式,檢測PHP、ASP、JSP等類型的網站指令檔。

    • 落盤掃描:指檔案上傳或下載到伺服器上,被感知到了落盤行為從而進行的檔案掃描檢測,發現惡意的檔案時上報警示。

    • 即時監測Web目錄。

    • 定時掃描Web目錄。

    安全警示可以將哪些對象加入白名單?

    安全警示處理功能支援對惡意軟體類的警示進行加白名單的操作。加入白名單操作僅針對當前警示事件中的訪問源進行加白。支援加入白名單的警示類型詳見以下表格。

    警示類型

    加白對象

    惡意軟體

    基於檔案MD5值加白

    異常登入

    對異常登入的IP加白

    訪問惡意IP、礦池通訊行為

    基於IP加白

    訪問惡意網域名稱

    基於網域名稱加白

    訪問惡意下載源、主動串連惡意下載源

    基於URL加白

    WebShell

    基於Web目錄配置加白

    惡意指令碼

    基於MD5和路徑加白

    雲產品威脅檢測

    支援在控制台配置加白規則

    進程異常行為

    基於命令列加白

    持久化後門

    基於檔案MD5和特徵加白

    敏感檔案篡改

    基於檔案路徑加白

    應用入侵事件

    基於命令列加白

    Web應用威脅檢測

    基於網域名稱或URL加白

    異常網路連接

    基於進程命令列、目標IP、目標連接埠加白。如果有部分欄位缺失,僅對已有欄位加白。

    為什麼某些警示狀態為已到期資料?

    如果警示最後一次發生時間距離現在超過30天,Security Center會將該警示狀態置為已到期。如果後續再次檢測到該警示發生,Security Center會更新該警示發生時間為最新檢測到的時間,並將該警示的狀態置為未處理

    為什麼可疑網域名稱訪問警示首次發生時間和檢出時間不一致?

    Security Center在接收到DNS解析資料時,需要使用演算法對DNS解析資料做分析和處理,且收到的DNS解析資料本身也會存在一定的延遲。故可疑網域名稱訪問警示的首次發生時間會比檢出時間晚,該時間差在5個小時內為正常情況。

    Security Center檢測和警示異常登入功能的原理是什嗎?

    在伺服器安裝Agent後,Security Center異常登入功能可以檢測您伺服器上的登入行為,並對非常用登入地的登入行為進行警示。在Security Center控制台安全警示處理頁面,可以查看伺服器登入異常相關警示。

    Security CenterAgent通過定時收集您伺服器上的登入日誌並上傳到雲端,在雲端進行分析和匹配。如果發現在非常用登入地或非常用登入IP、非常用登入時間、非常用登入帳號的登入成功事件,將會觸發事件警示。以下內容說明如何判定不同IP的具體登入行為:

    • 當Security Center首次應用於您的伺服器上時,由於伺服器未設定常用登入地,這段期間內的登入行為不會觸發警示。

    • 當某個公網IP第一次成功登入伺服器後,Security Center會將該IP地址的位置記為常用登入地,並將從該時間點往後順延24小時內的所有公網登入地都記為常用登入地。當超過24小時後,所有不在上述常用登入地的登入行為均被視為異地登入進行警示。

    • 當某個IP被判定為異地登入行為,只會有第一次登入行為進行簡訊警示。如果該IP成功登入6次或6次以上,Security Center預設將此IP的地點記錄為常用登入地。

      說明

      異地登入只針對公網IP生效。

    以下是關於非常用登入IP登入的警示策略:

    • Security Center會對某個異地IP的第一次登入行為進行簡訊警示。如果該IP持續登入,則只在控制台進行警示,直到該IP地址登入滿6次被自動記錄為常用登入地。

    • 如果您使用的是Security Center進階版、企業版或旗艦版,您可以針對伺服器設定常用登入地、常用登入IP、常用登入時間、常用登入帳號,對上述常用登入地、常用登入IP、常用登入時間、常用登入帳號之外的登入行為均提供警示。您自訂的登入規則生效優先順序高於異地登入判斷。

    Security Center支援哪些異常登入警示?

    支援異常登入警示的檢測項如下:

    • 惡意IP登入(伺服器、FTP應用、MySQL、SQL Server等)

    • 後門賬戶登入

    • 弱口令賬戶登入

    • 疑似對外發起登入掃描活動

    • 異常位置登入

    • 異常賬戶登入

    • ECS被暴力破解成功(多個無效使用者、RDP、SSH)

    • ECS登入後執行異常指令序列(SSH)

    • ECS非常用的時間、登入地、帳號和IP的登入

    以上警示檢測項的檢測原理的詳細內容,請參見安全警示檢測項說明

    正常登入伺服器,Security Center提示異常登入,如何避免這種情況?

    通過使用Security Center控制台安全警示處理頁面的安全警示設定功能,設定常用登入地、登入IP、時間及帳號,支援對於例外的登入行為進行警示。支援手動添加和自動更新常用登入地,對指定資產的異地登入行為進行警示。

    誤操作觸發了ECS被暴力破解登入警示,我該怎麼辦?

    由於伺服器密碼複雜度較高,可能會存在多次輸錯ECS伺服器登入密碼後,才成功登入伺服器的情況。該行為會被Security Center的防暴力破解模型判定為ECS密碼被暴力破解,併產生ECS被暴力破解登入警示。您在確認是誤操作觸發該警示後,可以忽略該警示。忽略警示的具體操作,請參見查看和處理安全警示

    設定了常用IP、時間及帳號,正常登入時提示異常登入怎麼辦?

    這種情況應先判斷警示類型是否為非合法IP登入、在非常用地登入還是非常用帳號登入。登入IP、登入地、帳號、時間都是影響登入警示的因素,不存在優先順序關係,只要其中一個因素存在異常,都會觸發警示。

    產生異常登入警示時,登入是成功了還是被攔截了?

    產生異常登入警示表示已經登入成功,但是這個登入行為被Security Center判定為可疑行為,所以產生該可疑行為的警示事件。

    異常登入警示已確定為駭客登入,我該怎麼辦?

    登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)在左側導覽列,選擇檢測響應 > 警報安全警示處理頁面,定位到該警示並單擊操作列的處理,選擇阻斷12小時並單擊立即處理,即可立馬阻斷該駭客的入侵。建議您立即修改密碼,並檢查伺服器是否存在其他未知帳號和其他未知公開金鑰,防止SSH免密登入。

    出現ECS登入後執行異常指令序列(SSH)警示時,該操作是否已經被執行?

    該命令已經被執行,請您及時補救伺服器登入密碼,並檢查伺服器是否有其他異常行為,例如啟動了未知進程。

    發生異常登入警示時,對應伺服器應該查看什麼日誌?

    您可以查看伺服器/var/log/secure目錄下的資訊。例如執行命令grep 10.80.22.22 /var/log/secure

    如何查看伺服器被暴力破解的次數或攔截情況?

    登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)在左側導覽列,選擇檢測響應 > 攻擊意識攻擊分析頁面,可以查看SSH暴力破解攔截成功的資訊。

    如何預防伺服器被暴力破解?

    您可以通過設定常用登入IP或採取認證登入方式,避免該情況發生。設定常用登入IP的方法,請參見安全警示設定

    誤操作導致防暴力破解生效怎麼辦?

    如果在設定了防暴力破解規則後,由於登入失敗次數太多,導致防暴力破解規則生效,無法登入伺服器,您可以參考以下方法解除禁止登入:

    登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)在左側導覽列,選擇檢測響應 > 警報安全警示處理頁面,單擊生效IP攔截策略/全部策略下的數字,在IP規則策略庫面板,找到對應的攔截規則,將該規則的策略狀態置為已禁用禁用攔截規則

    防暴力破解支援防護Web應用或網站嗎?

    不支援。

    防暴力破解支援對使用RDP和SSH協議登入的伺服器進行防護,不支援防護Web應用或網站。

    被暴力破解成功之後該怎麼處理?

    如果您的伺服器密碼被暴力破解成功,攻擊者很有可能已經入侵併登入您的伺服器並留下惡意程式。您可以登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)在左側導覽列,選擇檢測響應 > 警報安全警示處理頁面查看是否存在暴力破解成功相關的警示。

    如果您的資產中存在ECS被暴力破解成功類似警示,則表示您的相應伺服器已被暴力破解成功,建議您儘快參考以下步驟加固您的伺服器安全:

    • 處理被暴力破解成功相關警示

      安全警示處理頁面,單擊警示操作列的處理,在警示處理頁面選擇阻斷後,單擊立即處理。Security Center將為您產生安全性群組防禦規則,攔截惡意IP的訪問。更多資訊,請參見查看和處理安全警示

    • 修改伺服器使用者密碼

      請儘快更換您伺服器被暴力破解成功的使用者密碼,建議您使用複雜密碼。

    • 使用Security Center基準檢查功能進行風險檢測

      使用Security Center的基準檢查功能全面檢測您的伺服器安全,並根據建議處理風險項。

      說明

      進階版企業版旗艦版支援基準配置檢查功能。

    為什麼修改弱口令後仍然出現密碼暴力破解警示?

    修改後的弱口令在系統中生效的時間為T+1,在修改未生效的這段時間內,Security Center仍會上報密碼暴力破解警示。例如,您在2023年01月15日10:00時修改了登入密碼,基準檢測模型會在當天24:00左右採集修改後的登入密碼資訊並更新弱口令資料庫,異常登入檢測模型在2023年01月15日24:00點之前在弱口令資料庫中載入的是修改前的密碼,所以在這個時間段密碼暴力破解警示仍會存在。

    您在確認已修改弱口令且基準檢查未掃描出弱口令風險時,可以忽略該警示。

    如果您的伺服器登入密碼已經被暴力破解,建議您及時對伺服器進行安全強化。詳細內容,請參見被暴力破解成功之後該怎麼處理?

    為什麼安全性群組或者防火牆規則已經屏蔽了RDP服務的3389連接埠,但RDP還是有被暴力破解的記錄?

    由於Windows登入審核機制的原因, $IPC 、RDP、SAMBA服務的登入審核過程被記錄在同一個日誌裡面,且未區分具體登入方式。所以,在已經屏蔽了RDP服務連接埠還出現RDP被暴力破解記錄時,您需要檢查是否還開啟了其它兩個服務。

    檢查方法是查看ECS是否有監聽135、139、445等連接埠並且外網IP均可訪問,並且查看Windows安全類日誌是否在該時段有對應的登入記錄。

    ECS登入弱口令是指系統層面的RDP或者SSH掃描嗎?

    弱口令包含兩種,一種是RDP和SSH的弱口令,一種是類似CMS管理員後台登入的弱口令。

    如何處理SSH、RDP遠程登入被攔截?

    如果您發現當前IP無法遠端連線(SSH、RDP)雲上伺服器,您可以在安全管控管理主控台將登入IP加入到伺服器白名單,防止其訪問伺服器時被攔截。

    參照以下步驟,將登入IP地址添加到伺服器白名單:

    1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

    2. 在左側導覽列,選擇系統配置 > 功能設定

    3. 設定頁簽的其它配置子頁簽,單擊安全管控地區的配置,跳轉至安全控制控制台。

      說明

      您也可以將滑鼠移至阿里雲管理主控台右上方的賬戶表徵圖,在懸浮菜單中單擊安全管控進入安全管控管理主控台。

    4. 在左側導覽列,選擇白名單管理 > IP白名單

    5. IP白名單頁面,單擊添加

    6. 添加對話方塊,輸入源IP(需要加入IP白名單的IP地址),並配置允許該IP地址登入的伺服器。從左側伺服器框中選擇目標伺服器(可多選),並單擊右向箭頭,將其添加到右側白名單配置生效的已選伺服器框中。

    7. 配置完成後,單擊確定

    攻擊分析頁面的資料來源是哪些產品?

    攻擊分析頁面展示的資料,是Security Center自動為您識別並攔截基礎攻擊事件後統計的攻擊資料。這些攻擊資料是Security Center防護的雲資產的相關資料。您可以在資產中心頁面查看哪些資產是受到Security Center防護的。