本文汇总了检测响应的常见问题。

Rootkit告警支持实时检测吗?

不支持。

云安全中心通过定时任务,触发对内存的扫描,来判断是否存在Rootkit威胁。如果存在Rootkit威胁,会产生Rootkit告警。Rootkit检测详细信息,请参见检测Linux Rootkit入侵威胁

为什么在云安全中心看不到DDoS攻击的告警数据了?

云安全中心服务过期后,您的防病毒版高级版企业版旗舰版会降级为免费版,您将无法使用防病毒版高级版企业版旗舰版的功能。您之前在云安全中心的配置数据和历史告警数据(例如:DDoS告警等)将无法查看。此时,您只有通过重新购买来启用云安全中心防病毒版高级版企业版旗舰版的服务。更多信息,请参见购买云安全中心

如何判断资产中是否存在挖矿威胁?

如果您服务器的CPU使用率明显升高,例如达到80%以上,并且出现未知进程持续向外发送网络包的情况,可以判定您的服务器中存在挖矿威胁。

云安全中心防护的资产被挖矿程序入侵时,云安全中心会向您发送告警短信或邮件,您可以在云安全中心控制台威胁检测 > 安全告警处理页面处理挖矿事件告警。挖矿程序如果关联了其他告警事件,例如矿池通信行为访问恶意域名等,建议您一并处理关联的告警事件。如何查看和处理关联告警,请参见查看告警自动化关联分析

挖矿告警

未开启病毒拦截,我的服务器遭受挖矿攻击,该如何处理?

云安全中心控制台安全告警处理页面,定位到相应告警,单击其操作列处理,选择病毒查杀隔离该进程的源文件结束该进程的运行后单击立即处理。在设置页面,打开防病毒开关。

我不小心将挖矿告警加入了白名单,该如何取消?

云安全中心控制台安全告警处理页面,将筛选条件改为已处理,可以看到已经处理过的全部告警。定位到相应告警,单击其操作列取消白名单,即可恢复该告警。

如何查看我已开启了哪些防御能力?

云安全中心支持对您已开启的防御能力提供总览,帮助您快速了解已开启未开启的防御项目。

您可在云安全中心控制台安全告警处理页面,查看已开启和未开启的防御项目。安全告警处理
已开启的防御项默认不展示,您可在安全告警处理页面单击展开图标图标,展开防御能力列表。展开防御能力列表
应用白名单和网页防篡改告警类型以外,云安全中心默认为用户开启所购买版本支持的告警事件防御能力。
说明
  • 如需开通网页防篡改等防御能力,需升级防病毒版高级版企业版旗舰版,并购买网页防篡改增值服务。有关开通网页防篡改的内容,请参见开通服务。网页防篡改详细操作,请参见启用网页防篡改保护
  • 目前应用白名单功能处于邀测阶段,您可通过云安全中心控制台应用市场 > 概况提交开通试用的申请。应用白名单详细操作,请参见应用白名单
  • 云产品威胁检测为企业版旗舰版功能,企业版旗舰版自动开启防御;免费版防病毒版高级版需要升级至企业版旗舰版后才能自动开启防御。

如何确认病毒自动拦截已生效?

云安全中心控制台设置页面开启了防病毒后,您可以在安全告警处理页面,将筛选条件更改为精准防御已处理,看到防御状态为拦截成功说明病毒自动拦截已生效。精准防御拦截成功

云安全中心如何发现黑客入侵行为?

云安全中心发现的所有黑客入侵行为,是通过扫描检测和阿里云安全工程师分析客户流量数据并加以验证得出的。

常见的黑客入侵行为有哪些?

云安全中心提供的告警检测项已经覆盖了常见的黑客入侵行为,包括后门、暴力破解、挖矿等。详细内容,请参见安全告警类型列表

phpinfo为什么会产生告警,是否为误报?

不是误报。

phpinfo包含大量敏感信息,例如网站绝对路径等,具有较高的风险性,可能存在被黑客利用的风险。大部分黑客第一步都会上传phpinfo从而为进一步渗透获取更多信息。如果您确认该文件是您业务所需的正常文件,您可以在云安全中心控制台安全告警处理页面处理该告警时选择加入白名单

是否可以自动隔离WebShell文件?

不可以。由于WebShell文件可能涉及您业务方面的信息,需要您判断后手动隔离。被隔离的文件可以在文件隔离箱中找到,且30天内可以恢复。关于文件隔离箱的更多信息,请参见文件隔离箱

云安全中心WebShell检测的原理是什么?

云安全中心采用主机+网络双重检测机制,检测PHP、ASP、JSP等类型的网站脚本文件。以下是两种检测机制的介绍:
  • 主机检测:实时监控主机上网站目录文件的变化。
  • 网络检测:通过还原后门文件及分析网络协议进行检测。

为什么安全告警中涉及到我服务器中常用的文件,是误报吗?

这种情况不属于误报。如果您服务器中常用的文件生成时间存在改动、文件内容包含明显的后门语句,云安全中心也会进行相应告警。您排查后根据实际情况进行处理即可。

安全告警可以将哪些对象加入白名单?

安全告警处理功能支持对恶意进程(云查杀)类的告警进行加白名单的操作。加入白名单操作仅针对当前告警事件中的访问源进行加白。支持加入白名单的告警类型详见以下表格。

告警类型 加白对象
恶意进程(云查杀) 基于文件MD5值加白
异常登录 对异常登录的IP加白
访问恶意IP、矿池通信行为 基于IP加白
访问恶意域名 基于域名加白
访问恶意下载源、主动连接恶意下载源 基于URL加白
WebShell 基于Web目录配置加白
恶意脚本 基于MD5和路径加白
云产品威胁检测 支持在控制台配置加白规则
进程异常行为 基于命令行加白
持久化后门 基于文件MD5和特征加白
敏感文件篡改 基于文件路径加白
应用入侵事件 基于命令行加白
Web应用威胁检测 基于域名或URL加白
异常网络连接 基于进程命令行、目标IP、目标端口加白。如果有部分字段缺失,仅对已有字段加白。

为什么某些告警状态为已过期数据?

如果告警最后一次发生时间距离现在超过30天,云安全中心会将该告警状态置为已过期。如果后续再次检测到该告警发生,云安全中心会更新该告警发生时间为最新检测到的时间,并将该告警的状态置为未处理

正常登录服务器,云安全中心提示异常登录,如何避免这种情况?

通过使用云安全中心控制台安全告警处理页面的安全告警设置功能,设置常用登录IP、时间及账号,支持对于例外的登录行为进行告警。支持手动添加和自动更新常用登录地,对指定资产的异地登录行为进行告警。

多次输错服务器登录密码后才成功登录服务器,触发了ECS被暴力破解登录告警,我该怎么办?

由于服务器密码复杂度较高,可能会存在多次输错ECS服务器登录密码后,才成功登录服务器的情况。该行为会被云安全中心的防暴力破解模型判定为ECS密码被暴力破解,并产生ECS被暴力破解登录告警。您在确认是误操作触发该告警后,可以忽略该告警。忽略告警的具体操作,请参见查看和处理告警事件

设置了常用IP、时间及账号,并且正常登录,依然会提示异常登录怎么办?

这种情况应先判断告警类型是否为非合法IP登录、在非常用地登录还是非常用账号登录。登录IP、登录地、账号、时间都是影响登录告警的因素,不存在优先级关系,只要其中一个因素存在异常,都会触发告警。

产生异常登录告警时,登录是成功了还是被拦截了?

产生异常登录告警表示已经登录成功,但是这个登录行为被云安全中心判定为可疑行为,所以产生该可疑行为的告警事件。

异常登录告警已确定为黑客登录,我该怎么办?

云安全中心控制台安全告警处理页面,定位到该告警并单击操作列的处理,选择阻断12小时并单击立即处理,即可立马阻断该黑客的入侵。建议您立即修改密码,并检查服务器是否存在其他未知账号和其他未知公钥,防止SSH免密登录。

出现ECS登录后执行异常指令序列(SSH)告警时,该操作是否已经被执行?

该命令已经被执行,请您及时更新服务器登录密码,并检查服务器是否有其他异常行为,例如启动了未知进程。

发生异常登录告警时,对应服务器应该查看什么日志?

您可以查看服务器/var/log/secure目录下的信息。例如执行命令grep 10.80.22.22 /var/log/secure

如何查看服务器被暴力破解的次数或拦截情况?

云安全中心控制台威胁检测 > 攻击分析页面,可以查看SSH暴力破解拦截成功的信息。

如何预防服务器被暴力破解?

您可以通过设置常用登录IP、或采取证书登录方式,避免该情况发生。设置常用登录IP的方法,请参见安全告警设置

误操作导致防暴力破解生效怎么办?

如果在设置了防暴力破解规则后,由于登录失败次数太多,导致防暴力破解规则生效,无法登录服务器,您可以参考以下方法解除禁止登录:

云安全中心控制台安全告警处理页面,单击生效IP拦截策略/全部策略下的数字,在IP规则策略库页面,找到对应的拦截规则,将该规则的策略状态置为已禁用禁用拦截规则

防暴力破解支持防护Web应用或网站吗?

不支持。

防暴力破解支持对使用RDP和SSH协议登录的服务器进行防护,不支持防护Web应用或网站。

被暴力破解成功之后该怎么处理?

如果您的服务器密码被暴力破解成功,攻击者很有可能已经入侵并登录您的服务器并留下恶意程序。您可以在云安全中心控制台威胁检测 > 安全告警处理页面查看是否存在暴力破解成功相关的告警。

如果您的资产中存在ECS被暴力破解成功类似告警,则表示您的相应服务器已被暴力破解成功,建议您尽快参考以下步骤加固您的服务器安全:
  • 处理被暴力破解成功相关告警

    云安全中心控制台威胁检测 > 安全告警处理页面,单击告警操作列的处理,在告警处理页面选择阻断后,单击立即处理。云安全中心将为您生成安全组防御规则,拦截恶意IP的访问。更多信息,请参见查看和处理告警事件

  • 修改服务器用户密码

    请尽快更换您服务器被暴力破解成功的用户密码,建议您使用复杂密码。

  • 使用云安全中心基线检查功能进行风险检测
    使用云安全中心的基线检查功能全面检测您的服务器安全,并根据建议处理风险项。
    说明高级版企业版旗舰版支持基线配置检查功能。

为什么修改22端口后仍然出现密码暴力破解提示?

如果您将Linux服务器上的SSH服务的默认端口从22修改为其它端口,您仍然可能收到云安全中心安全告警功能提示的密码暴力破解告警信息。

云安全中心异常登录事件检测会根据尝试登录SSH服务的频繁度,检测是否存在暴力破解攻击行为。因此,即使您已修改SSH服务的默认端口,当恶意攻击者尝试暴力破解您的SSH服务时,云安全中心仍然能正常检测到攻击行为并为您提示告警信息。

如果您的服务器被暴力破解成功,建议您及时对服务器进行安全加固。详细内容,请参见被暴力破解成功之后该怎么处理?

为什么安全组或者防火墙规则已经屏蔽了RDP服务的3389端口,但RDP还是有被暴力破解的记录?

由于Windows登录审核机制的原因, $IPC 、RDP、SAMBA服务的登录审核过程被记录在同一个日志里面,且未区分具体登录方式。所以,在已经屏蔽了RDP服务端口还出现RDP被暴力破解记录时,您需要检查是否还开启了其它两个服务。

检查方法是查看ECS是否有监听135、139、445等端口并且外网IP均可访问,并且查看Windows安全类日志是否在该时段有对应的登录记录。

ECS登录弱口令是指系统层面的RDP或者SSH扫描吗?

弱口令包含两种,一种是RDP和SSH的弱口令,一种是类似CMS管理员后台登录的弱口令。

如何处理SSH、RDP远程登录被拦截?

如果您发现当前IP无法远程连接(SSH、RDP)云上服务器,您可以在安全管控管理控制台将登录IP加入到服务器白名单,防止其访问服务器时被拦截。

参照以下步骤,将登录IP地址添加到服务器白名单:
  1. 登录云安全中心控制台
  2. 在左侧导航栏单击设置,在设置页签中的安全管控模块,单击设置,跳转到安全管控管理控制台。
    说明 您也可以将鼠标移至阿里云管理控制台右上角的账户图标,在悬浮菜单中单击安全管控进入安全管控管理控制台。
  3. 在安全管控管理控制台左侧导航栏,定位到白名单管理 > IP白名单页面,单击添加
  4. 源IP文本框中输入需要加入IP白名单的IP地址,并配置允许该IP地址登录的服务器。从左侧服务器框中选择目标服务器(可多选),并单击右向箭头,将其添加到右侧白名单配置生效的已选服务器框中。
  5. 配置完成后,单击确定

攻击分析页面的数据来源是哪些产品?

攻击分析页面展示的数据,是云安全中心自动为您识别并拦截基础攻击事件后统计的攻击数据。这些攻击数据是云安全中心防护的云资产的相关数据。您可以在资产中心页面查看哪些资产是受到云安全中心防护的。