全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网

异常登录

更新时间:2017-08-31 19:42:12

安骑士异常登录功能检测您服务器上的登录行为,对于在非常用登录地的登录行为进行告警,同时检测密码暴力破解行为,并进行实时防御。

登录记录

云盾服务器安全(安骑士)管理控制台中的登录记录页面展示您的服务器上近三天内的登录记录,您可以查看服务器上每次登录行为的记录信息和登录的源 IP,一旦发现异常登录信息,您可以及时进行处理。

登录记录功能原理

安骑士 Agent 通过定时收集您服务器上的登录日志并上传到云端,在云端进行分析和匹配。如果发现在非常用登录地有登录成功的事件,将会触发事件告警。

当您的服务器第一次接入安骑士时,由于服务器未设置常用登录地,这段期间内的登录行为不会触发告警;当某个地点成功登录六次或六次以上时,安骑士默认将此地点记录为常用登录地。此后,如果在其他地区进行登录这台服务器时,将会触发告警信息。

注意: 您可在 服务器安全(安骑士)管理控制台 > 设置 > 告警设置 中,选择 “登录安全-异地登录” 通知项目的告警方式(可配置为短信、邮件、及站内信方式,默认通过全部方式进行告警)。

操作步骤

  1. 登录 服务器安全(安骑士)管理控制台

  2. 定位到 事件 > 异常登录,选择 登录记录,查看您的安骑士已防护的服务器上三天内的登录记录。

    登录记录页面

  3. 在状态栏中选择 异地登录,可查看你服务器上的异地登录事件,并根据安骑士提供的登录信息(登录时间、登录类型、登录源 IP 及对应用户名等)处理该异地登录事件。

    注意: 安骑士会对某个异地 IP 的第一次登录行为进行告警,同时对该 IP 第五次的登录行为进行告警(因为再成功登录一次后登录成功的次数将达到六次,安骑士会把该地址记录为常用登录地,并不再对该地进行告警)。

您也可根据安骑士检测到的异常登录事件信息,在您的服务器上直接查看对应的登录日志记录:

  • Linux 系统: 可在该文件目录下查看相关登录日志/var/log/secure
  • Windows 系统:在 控制面板 > 管理工具 > 事件查看器 中,查看 Windows日志 > 安全 目录中相关的登录审核日志。

常用登录地设置

您可以手动为您的服务器设置常用登录地,避免安骑士对您的移动办公需求进行误报告警。

  1. 登录 服务器安全(安骑士)管理控制台

  2. 定位到 设置 > 安全配置,在 登录安全 区域,单击 常用登录地 选项右侧的 添加

    添加常用登录地

  3. 选择要添加的常用登录地及对应的服务器,单击 确认,即可为您选定的服务器设置常用登录地。

暴力破解拦截

安骑士具备出色的防暴力破解能力,可以有效对爆力破解行为进行阻断,并将爆力破解行为进行记录。云盾服务器安全(安骑士)管理控制台中的暴力破解拦截页面展示您的服务器上近三天内的暴力破解拦截记录。

暴力破解拦截功能原理

安骑士 Agent 通过定时收集您服务器上的登录日志并上传到云端,在云端进行分析和匹配。如果发现存在暴力破解行为,将同步到阿里云处罚中心并将攻击源 IP 的行为进行拦截。同时,如果黑客暴力破解密码成功,且成功登录您的服务器,将会触发事件告警。

注意: 您可在 服务器安全(安骑士)管理控制台 > 设置 > 告警设置 中,选择 “登录安全-暴力破解成功” 通知项目的告警方式(可配置为短信、邮件、及站内信方式,默认通过全部方式进行告警)。

操作步骤

  1. 登录 服务器安全(安骑士)管理控制台

  2. 定位到 事件 > 异常登录,选择 暴力破解拦截,查看您的安骑士已防护的服务器上三天内的暴力破解拦截记录。

    暴力破解拦截页面

  3. 在拦截状态栏中,可选择 破解成功无威胁已拦截、或 已处理 状态,查看相关事件信息,并对该暴力破解行为进行处理。

    • 破解成功: 表示您的服务器被暴力破解密码成功,很有可能已经被入侵登录服务器。请参考 被暴力破解成功之后该怎么办,尽快对您的服务器安全进行加固。
    • 已拦截: 表示该暴力破解行为已经被安骑士成功拦截。
    • 无威胁: 表示安骑士扫描到有暴力破解的攻击行为,但是判断对您的服务器没有威胁。
    • 已处理: 表示您已对该暴力破解事件进行相应的处理。

登录 IP 白名单设置

为了避免安骑士对您的正常登录行为进行误报(例如,多次输入密码错误;或办公网采用统一 IP 作为出口的环境中,多次输入密码错误可能会触发误拦截等),您可将此类 IP 添加至登录 IP 白名单中,安骑士暴力破解拦截功能将不会对来自登录 IP 白名单中的 IP 的登录行为进行拦截。

  1. 登录 服务器安全(安骑士)管理控制台

  2. 定位到 设置 > 安全配置,在 登录安全 区域,单击 常用IP白名单 选项右侧的 添加

    设置登录IP白名单

  3. 输入要添加至登录白名单的 IP,并选择对应的服务器,单击 确认,即可为您选定的服务器添加登录白名单 IP。

本文导读目录