本文汇总了威胁检测的常见问题。

如何查看我已开启了哪些防御能力?

云安全中心支持对您已开启的防御能力提供总览,帮助您快速了解已开启未开启的防御项目。

您可在云安全中心控制台安全告警处理页面,查看已开启和未开启的防御项目。安全告警处理
已开启的防御项默认不展示,您可在安全告警处理页面单击展开图标图标,展开防御能力列表。展开防御能力列表
除应用白名单和网页防篡改告警类型以外,云安全中心默认为用户开启所购买版本支持的告警事件防御能力。
说明
  • 如需开通网页防篡改等防御能力,需升级到基础杀毒版、高级版或企业版,并购买网页防篡改增值服务。有关开通网页防篡改的内容,请参见开通服务。网页防篡改详细操作请参见网页防篡改启用网页防篡改保护
  • 目前应用白名单功能处于邀测阶段,您可通过云安全中心控制台安全运营 > 应用市场提交开通试用的申请。应用白名单详细操作请参见应用白名单
  • 云产品威胁检测为企业版功能,企业版自动开启防御;基础杀毒版、高级版需要升级至企业版后才能自动开启防御。

如何判断资产中存在挖矿威胁?

如果服务器的CPU使用率明显升高,例如达到80%以上,并且出现未知进程持续向外发送网络包的情况,可以判定您的服务器中存在挖矿威胁。

云安全中心防护的资产被挖矿程序入侵时,云安全中心会向您发送告警短信或邮件,您可以在云安全中心控制台威胁检测 > 安全告警处理页面处理挖矿事件告警。挖矿程序关联了其他告警事件,例如矿池通信行为访问恶意域名等,建议您一并处理关联的告警事件。如何查看和处理关联告警请参见查看告警自动化关联分析

挖矿告警

云安全中心如何发现黑客入侵行为?

云安全中心发现的所有黑客入侵行为,有一半是通过扫描检测得出,一半是通过阿里云安全工程师分析客户流量数据并加以验证得出。

常见的入侵包括:后门(Webshell+一句话shell)和肉鸡行为(对外DDoS+对外暴力破解)。

安全告警可以将哪些对象加入白名单?

安全告警处理功能支持对恶意进程(云查杀)类的告警进行加白名单的操作。加入白名单操作仅针对当前告警事件中的恶意源进行加白。支持加入白名单的告警类型详见以下表格。

告警类型 描述
恶意进程(云查杀) 基于文件MD5值加白
异常登录 对异常登录的IP加白
访问恶意IP、矿池通信行为 基于IP加白
访问恶意域名 基于域名加白
访问恶意下载源、主动连接恶意下载源 基于URL加白
WebShell 基于Web目录配置加白
恶意脚本 基于MD5和路径加白
云产品威胁检测 支持在控制台配置加白规则
进程异常行为 基于命令行加白
持久化后门 基于文件MD5和特征加白
敏感文件篡改 基于文件路径加白
应用入侵事件 基于命令行加白
Web应用威胁检测 基于域名或URL加白
异常网络连接 基于进程命令行、目标IP、目标端口加白。如果有部分字段缺失,仅对已有字段加白。

常见告警处理方法有哪些?

本部分内容介绍云安全中心常见告警的处理方法。
  • 进程异常行为告警处理
    查看告警,确认该行为是否为正常业务操作。如果是正常业务操作,单击处理并选择加白名单;如果不是正常业务行为,要结合其它告警处理安全事件,安全事件处理完毕后,在控制台单击处理并选择忽略进程异常行为告警进程异常行为告警处理方式
  • 网站后门处理
    确认对应的文件是否为正常业务文件。如果是正常业务文件,单击处理并选择加白名单;如果不是正常的业务文件请单击处理并选择隔离网站后门处理网站后门处理方式
  • 恶意进程(云查杀)
    建议您使用病毒查杀功能,结束恶意进程运行并隔离源文件,或登录服务器进行手动处理。该类恶意程序可能还存在自删除行为,或伪装成系统程序以躲避检测。如果发现该文件不存在,请检查是否存在可疑进程、定时任务或启动项。恶意进程(云查杀)恶意进程(云查杀)处理方式
  • 异常网络连接
    若为正常业务流量,请单击处理并选择加白名单;若不是正常业务流量,请依据具体告警采用云防火墙、WAF进行针对性拦截,处理完毕后选择忽略,该事件将移置已处理中。异常网络连接异常网络连接处理方式

如何开通防暴力破解功能?

您可以参考以下步骤开通防暴力破解功能。更多详细信息请参见配置防暴力破解规则
  1. 安全风险处理页面单击防暴力破解右侧的立即处理,进入安全告警设置 > 防暴力破解配置界面。安全风险处理
  2. 防暴力破解页面在将鼠标移置灰色的添加按钮上,弹出授权提醒,根据界面提示完成授权。防爆力破解授权
  3. 完成授权后,单击添加配置防暴力破解规则。添加防暴力破解规则
  4. 参考下表完成添加防暴力破解规则参数设置。配置防暴力破解规则参数
    参数 说明
    防御规则名称 可自定义规则名称。
    防御规则 设置某个时间范围(支持选择1分钟、2分钟、5分钟、10分钟、15分钟)内登录失败次数超过限定次数(支持选择2次、3次、4次、5次、10次、50次、80次、100次),禁止登录时长(支持选择5分钟、15分钟、30分钟、1小时、2小时、6小时、12小时、24小时、7天、永久)

    例如:1分钟内登录失败次数超过3次,禁止登录30分钟

    请选择对应的服务器 设置防御规则生效的服务器。支持直接选择云安全中心防护的服务器,或根据服务器名称/IP筛选指定服务器。
    设置为默认策略 设置该防御规则是否为默认策略。
  5. 单击确定。

被暴力破解成功之后该怎么处理?

如果您的服务器密码被暴力破解成功,攻击者很有可能已经入侵并登录您的服务器并留下恶意程序。您可以在云安全中心控制台威胁检测 > 安全告警处理页面查看是否存在暴力破解成功相应告警。
如果您的资产中存在ECS被暴力破解成功类似告警,则表示您的相应服务器已被暴力破解成功,建议您尽快参考以下步骤加固您的服务器安全:
  • 处理被暴力破解成功相关告警
    云安全中心控制台威胁检测 > 安全告警处理页面,单击告警操作列的处理,在告警处理页面选择阻断后,单击立即处理。云安全中心将为您生成安全组防御规则,拦截恶意IP的访问。更多信息请见查看和处理告警事件处理ECS被暴力破解成功告警
  • 修改服务器用户密码

    请尽快更换您服务器被暴力破解成功的用户密码,建议您使用复杂密码。

  • 使用云安全中心基线检查功能进行风险检测
    使用云安全中心的基线检查功能全面检测您的服务器安全,并根据建议处理风险项。
    说明 基线配置检查功能仅在云安全中心企业版中提供。
  • 重置您的服务器,并加固服务器安全

    加固您的服务器安全,详情请参见ECS安全部署方法

为什么修改22端口后仍然出现密码暴力破解提示?

如果您将Linux服务器上的SSH服务的默认端口从22修改为其它端口,您仍然可能收到云安全中心安全告警功能提示的密码暴力破解告警信息。

云安全中心异常登录事件检测会根据尝试登录SSH服务的频繁度,检测是否存在暴力破解攻击行为。因此,即使您已修改SSH服务的默认端口,当恶意攻击者尝试暴力破解您的SSH服务时,云安全中心仍然能正常检测到攻击行为并为您提示告警信息。

如果您的服务器被暴力破解成功,建议您及时对服务器进行安全加固。详细内容请参见被暴力破解成功之后该怎么处理?

为什么安全组或者防火墙规则已经屏蔽了RDP服务的3389端口,但RDP还是有被暴力破解的记录?

由于Windows登录审核机制的原因, $IPC 、RDP、SAMBA服务的登录审核过程被记录在同一个日志里面,且未区分具体登录方式。所以,在已经屏蔽了RDP服务端口还出现RDP被暴力破解记录时,您需要检查是否还开启了其它两个服务。

检查方法是查看ECS是否有监听135、139、445等端口并且外网IP均可访问,并且查看Windows安全类日志是否在该时段有对应的登录记录。

ECS登录弱口令是指系统层面的RDP或者SSH扫描吗?

弱口令包含两种,一种是RDP和SSH的弱口令,一种是类似CMS管理员后台登录的弱口令。

如何处理SSH、RDP远程登录被拦截?

如果您发现当前IP无法远程连接(SSH、RDP)云上服务器,您可以在安全管控管理控制台将登录IP加入到服务器白名单,防止其访问服务器时被拦截。

参照以下步骤,将登录IP地址添加到服务器白名单:
  1. 登录云安全中心控制台
  2. 在左侧导航栏单击设置,在设置页签中的安全管控模块,单击设置,跳转到安全管控管理控制台。安全管控跳转入口
    说明 您也可以将鼠标移至阿里云管理控制台右上角的账户图标,在悬浮菜单中单击安全管控进入安全管控管理控制台。安全管控入口
  3. 在安全管控管理控制台左侧导航栏,定位到白名单管理 > IP白名单页面,单击添加
  4. 源IP文本框中输入需要加入IP白名单的IP地址,并配置允许该IP地址登录的服务器。从左侧服务器框中选择目标服务器(可多选),并单击右向箭头,将其添加到右侧白名单配置生效的已选服务器框中。添加IP地址
  5. 配置完成后,单击确定

高危敏感信息泄露处置方案

GitHub是目前流行的开源代码库以及版本控制系统,它给开发者带来方便的同时,也带来一系列安全隐患。开发者使用公开的代码托管库,可能导致源代码泄露,从而暴露一些敏感信息,例如数据库连接配置文件中的账号密码、AccessKey信息、邮箱账号密码等。

企业或个人用户在使用GitHub、码云等中国及中国以外地域代码托管平台时,其托管的源代码中已被发现或可能存在以下敏感信息:阿里云账号AccessKey、RDS账号密码、ECS自建数据库或邮箱的账号密码等。上述账号密码信息在被他人获取后,可以被直接用来访问用户的阿里云资源和数据资源,导致企业或个人敏感信息泄露。

如果企业使用ECS自行搭建部署了数据库服务,开发人员可能在数据库连接配置文件里面写入数据库连接密码、邮箱密码等高危敏感信息。如果黑客通过GitHub获取泄露的账号密码,并成功通过认证,则可以轻易获取企业数据,给企业带来极大的安全风险。

解决方案
  • (推荐)使用私有的Github代码仓库来管理代码,或搭建企业内部的代码托管系统,防止源代码泄露和敏感信息泄露。
  • 如果发现阿里云AccessKey等高危敏感信息泄露,应立即登录阿里云控制台,禁用并重置AccessKey(或直接删除);同时尽快删除GitHub托管代码。
  • 定期前往日志服务控制台,搜索对应的服务器访问日志,检查数据是否泄漏。例如,检索日志源Web访问日志,选择URI字段,检查包含有AccessKey应用文件的文件路径等。
  • 建立企业内部的安全运维规范和开发红线,培训内部IT人员,提高其安全意识,防止信息泄露。

AccessKey的更多信息请参见阿里云AccessKey