本文列出了云安全中心威胁检测模块支持的所有告警检测项,并按照操作系统、分析对象、攻击手法等维度进行分类,帮助您更全面地了解云安全中心的威胁检测能力。

云安全中心控制台安全告警处理页面中,可以查看支持检测的告警类型(更多信息,请参见安全告警类型列表)。这些告警类型是云安全中心根据威胁检测引擎提供的能力,结合阿里云公网上的威胁情报和披露的最新漏洞检测得出的。本文列出了具体的告警检测项,对云安全中心支持的告警类型进行详细说明,并针对告警检测项为您介绍对应的检测原理。

适用于Linux系统的告警

告警类型 具体检测项 检测原理说明
持久化后门 篡改内核模块配置文件 检测模型发现您的服务器上有篡改内核模块配置文件行为,该行为常见于Rootkit修改配置文件以达到自启动的目的。
持久化后门 恶意启动项脚本 检测模型发现您服务器上的某些自启动项文件可疑,可能是恶意软件或攻击者通过计划任务、自启动脚本进行的持久化行为。
持久化后门 后门进程 检测模型发现您的服务器上存在一疑似后门的可疑进程,可能是攻击者为维持权限遗留下的持久化行为。
持久化后门 异常代码驻留内存 检测模型发现您的服务器上某进程的内存空间中疑似存在恶意指令,该进程可能为攻击者在入侵后遗留的恶意软件,或者是向正常的进程注入了恶意的代码。
持久化后门 异常进程 检测模型发现您的服务器当前运行中的程序中存在异常进程,可能是恶意程序或利用正常程序加载了恶意代码。
持久化后门 异常自启动项 检测模型发现您的服务器上存在异常的自启动项,可能是恶意软件或攻击者通过添加启动项来达到持久化的目的。
持久化后门 隐藏的内核模块 检测模型发现您的服务器上存在隐藏的内核模块,极有可能是黑客或恶意软件植入的Rootkit后门,用于维持系统权限和隐藏其他恶意行为。
持久化后门 Linux可疑计划任务 检测模型发现您服务器上存在可疑的计划任务,这可能被攻击者在入侵机器后进行的持久化行为。
持久化后门 SSH后门公钥 检测模型发现您的服务器上存在异常的SSH登录公钥,该SSH公钥历史上曾被蠕虫或黑客添加到被入侵的服务器中以达到权限维持的目的。
恶意脚本 恶意脚本代码执行 检测模型发现您的服务器上正在执行恶意的Bash、Powershell、Python等脚本代码。
恶意脚本 发现恶意脚本文件 检测模型发现您的服务器上存在恶意脚本文件,该文件极有可能是攻击者成功入侵服务器后植入的,建议您根据恶意脚本的标签检查文件内容的合法性并进行处理。
恶意进程(云查杀) 被污染的基础软件 检测模型发现您的服务器上存在被污染的基础软件,被污染的基础软件是一类特殊的恶意程序,一般是被植入了恶意代码的正常系统程序,虽然具备原始基础软件的功能但具有隐藏的恶意行为。
恶意进程(云查杀) 恶意程序 检测模型发现您的服务器上运行了恶意程序,恶意程序一般是具备多种恶意行为特征的程序,或者具备骚扰、破坏行为的第三方程序。
恶意进程(云查杀) 访问恶意IP 检测模型发现您服务器上的进程正在尝试访问一个可疑的恶意IP,这个IP可能是黑客的中控IP,矿池IP等具有高风险的IP,发起连接行为的进程可能是黑客植入的恶意文件。
恶意进程(云查杀) 感染型病毒 检测模型发现您的服务器上运行了感染型病毒,感染型病毒是一类高级恶意程序,由病毒本体将恶意代码写入正常程序文件执行,因此往往有大量原本正常程序被感染后作为宿体被检出。
恶意进程(云查杀) 黑客工具 检测模型发现您的服务器上存在黑客工具,黑客工具是攻击者在入侵过程中用于权限提升、窃取敏感数据的工具,或用于卸载安全软件的程序,或入侵后植入系统的后门程序。
恶意进程(云查杀) 后门程序 检测模型发现您的服务器上运行了后门程序,后门程序是植入到系统中,用于给黑客对服务器做持续入侵的持久化程序。
恶意进程(云查杀) 可疑程序 检测模型发现您的服务器上运行了可疑程序,可疑程序一般是具有一定恶意代码特征或高可疑度行为特征的、暂未明确分类的程序,需要用户结合信息判断。
恶意进程(云查杀) 勒索病毒 检测模型发现您的服务器上运行了勒索病毒,勒索病毒是一类恶性程序,会对服务器上所有关键数据文件进行加密锁定以勒索赎金。
恶意进程(云查杀) 漏洞利用程序 检测模型发现您的服务器上运行了漏洞利用程序,漏洞利用程序用于攻击或尝试攻击操作系统、应用程序的已知漏洞,用于实现提权、逃逸、任意代码执行等目的。
恶意进程(云查杀) 木马程序 检测模型发现您的服务器上存在木马程序,木马程序是专门用于侵入用户服务器的程序,一般通过伪装植入系统后会下载、释放另外的恶意程序。
恶意进程(云查杀) 蠕虫病毒 检测模型发现您的服务器上运行了蠕虫病毒,蠕虫病毒是一类用于从已攻陷服务器,向其它服务器做攻击横向移动的程序,往往包括漏洞利用、密码爆破等行为。
恶意进程(云查杀) 挖矿程序 检测模型发现您的服务器上运行了挖矿程序,挖矿程序是一类侵占服务器计算资源,进行虚拟货币挖掘的程序,服务器往往可见CPU占用飙高,以及其它相关的恶意程序。
恶意进程(云查杀) 自变异木马 检测模型发现您的服务器上运行了自变异,自变异木马是具备自变异功能的木马程序,它会改变自身hash或者将自身大量复制到不同的路径下,并后台运行起来,以躲避清理。
恶意进程(云查杀) DDoS木马 检测模型发现您的服务器上运行了DDoS木马,DDoS木马是用于从被攻陷服务器上接受指令,对黑客指定目标发起DDoS攻击的恶意程序。
恶意进程(云查杀) Rootkit 检测模型发现您的服务器上存在Rootkit,Rootkit是一类植入到系统底层,用于隐藏自身或其它恶意程序痕迹的恶意模块。
恶意进程(云查杀) Rootkit内核模块 检测模型发现您的服务器上存在Rootkit,Rootkit是一类植入到系统底层,用于隐藏自身或其它恶意程序痕迹的恶意模块。
进程异常行为 篡改文件时间 检测模型发现您的服务器上有进程尝试篡改文件时间,可能是攻击者在入侵过程中通过模仿系统正常文件时间来伪造异常文件真实的创建、访问、修改时间,以达到逃避检测的目的。
进程异常行为 调用风险工具 检测模型发现您的服务器异常调用了风险工具,风险工具被攻击者用于代理、隧道、扫描工具等进一步入侵服务器的场景。
进程异常行为 反弹Shell 检测模型发现您的服务器执行了反弹Shell命令,攻击者通过该方式与自己的服务器建立了反向网络连接,通过该连接可以执行任意命令。详细信息,请参见云安全中心反弹Shell多维检测技术详解
进程异常行为 访问恶意下载源 检测模型发现您的服务器正在尝试访问一个可疑的恶意下载源,可能是黑客通过弱口令或命令执行漏洞,从远程服务器下载恶意文件,危害服务器安全。
进程异常行为 访问敏感文件 检测模型通过对您服务器上的进程历史行为进行自动分析,发现该进程异常读取或修改了重要的系统文件。
进程异常行为 服务应用执行可疑命令 检测模型根据您服务器上的进程历史行为自动分析,发现该服务进程启动的命令较为可疑,可能是攻击者在利用该服务的RCE漏洞成功执行了命令。
进程异常行为 高危应用执行异常指令 检测模型发现您服务器中的高危应用(如:Web服务、数据库服务、脚本、定时任务、自启动项等)执行了可疑命令,该服务可能已被攻击者攻破并通过其执行恶意命令。
进程异常行为 可疑编码命令 检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。
进程异常行为 可疑端口监听异常进程 检测模型发现您的服务器出现异常的端口监听事件,攻击者在入侵服务器后,常常会借助nc等软件建立监听端口,以此建立隐蔽通信通道实现信息窃取等目的。
进程异常行为 可疑路径 检测模型发现您的服务器上存在可疑的文件名后缀,该文件格式为可执行文件,与后缀所代表格式不匹配,常见于攻击者在入侵过程中修改可执行文件名后缀以逃避检测。
进程异常行为 可疑文件落盘执行 检测模型发现您的服务器上的某文件以一种可疑的方式被写入并执行,可能是攻击者从外部下载的恶意工具并执行。
进程异常行为 可疑行为 检测模型通过对您服务器上的历史进程行为自动分析,发现该命令较为可疑。
进程异常行为 可疑HTTP隧道信息泄漏 检测模型发现您服务器上出现利用HTTP信道将命令执行结果发送到外部服务器的行为,可能是攻击者将利用RCE漏洞执行命令的结果返回给自己的服务器。
进程异常行为 可疑SSH Tunnel端口转发隧道 检测模型发现您的服务器正在尝试建立可疑SSH Tunnel端口转发隧道。
进程异常行为 可疑Webshell写入行为 检测模型发现有可疑进程在尝试向服务器上写入Webshell文件。
进程异常行为 疑似权限提升 检测模型发现您的服务器上有进程疑似利用系统、应用漏洞来获取更高的权限,可能是攻击者在入侵过程中进行的提权行为。
进程异常行为 疑似Rootkit行为 检测模型发现你哪的服务器上有Rootkit后门正在执行可疑命令,可能是攻击者在植入Rootkit后对其下发了恶意指令来达到远程控制的目的。
进程异常行为 异常调用数据库导出工具 检测模型通过对您服务器上进程的历史行为进行分析,发现可疑调用数据库导出工具行为,可能是攻击者在攻击成功后进行数据窃取的行为。
进程异常行为 异常行为序列 检测模型发现您的服务器上出现了多个异常行为的序列组合,常见于各类蠕虫家族感染扩散时运行的异常行为,可能您的服务也被蠕虫病毒感染。
进程异常行为 Apache-CouchDB执行异常指令 检测模型发现您服务器上Apache-CouchDB应用执行了异常命令。
进程异常行为 FTP应用执行异常指令 检测模型发现您的FTP应用执行了异常命令,可能是攻击者通过FTP应用的弱口令,借助FTP执行BAT批处理脚本功能,执行异常命令。
进程异常行为 Java应用执行异常指令 检测模型发现您的服务器上的Java进程启动了下载恶意程序、添加后门等高危行为,很可能是因为您使用了存在漏洞的Web框架或者中间件导致。
进程异常行为 Linux计划任务文件异常篡改 检测模型发现您服务器上有进程正在尝试修改Linux计划任务文件,该行为可能是因为恶意程序、Rootkit程序正在尝试写入持久化后门代码。
进程异常行为 Linux计划任务执行异常指令 检测模型发现您服务器的计划任务执行了异常命令,可能是攻击者在入侵服务器后,为维持权限,将恶意命令写入到计划任务中。
进程异常行为 Linux可疑命令序列 检测模型发现您服务器上某进程执行了一系列可疑的命令,这些命令与攻击者入侵后通常会执行的命令序列非常相似,建议排查这些命令的父进程,可能为远控木马、存在漏洞的Web服务,或者是合法进程被注入了恶意代码。
进程异常行为 Linux可疑命令执行 检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。
进程异常行为 MySQL导出功能误用写入可疑文件 检测模型发现您服务器上的MySQL应用正尝试向敏感目录写入文件,可能是攻击者通过弱口令或Web应用执行了恶意的SQL。
进程异常行为 MySQL执行异常指令 检测模型发现您的MySQL服务执行了可疑的命令,可能是由于MySQL服务存在弱口令、或Web服务被SQL注入导致。
进程异常行为 Oracle执行异常指令 检测模型发现您的服务器上的Oracle数据库执行了可疑命令,可能是因为数据库密码泄漏导致黑客远程命令执行。
进程异常行为 Postgres导出功能被误用写入可疑UDF库文件 检测模型发现您服务器上的Postgres应用正在尝试向磁盘上写入可疑so文件,可能由于Postgres存在弱口令被攻击者登录后并执行了恶意SQL,该文件可能导致您的服务器被攻击者控制。
进程异常行为 Postgresql应用执行异常指令 检测模型发现到您的Postgres服务执行了可疑的命令,可能是由于Postgres服务存在弱口令、或Web服务被SQL注入导致。
进程异常行为 Python应用执行异常指令 检测模型发现您服务器上的Python应用执行异常命令,可能是由于您服务器上通过Python搭建的Web应用存在RCE漏洞并被利用成功。
进程异常行为 Redis入侵后修改Crontab 检测模型发现您服务器上的Redis应用向磁盘写入了可疑文件,可能是攻击者通过Redis空口令或弱口令,执行了恶意SQL,该行为可使攻击者直接获取服务器权限。
进程异常行为 Tomcat执行异常指令 检测模型发现您的Tomcat容器执行了异常命令,可能是攻击者通过Tomcat容器中Java应用存在的RCE漏洞或Webshell执行了恶意命令。
敏感文件篡改 篡改系统文件 检测模型发现您服务器上有进程尝试修改、替换系统文件,可能是攻击者尝试通过替换系统文件以达到躲避检测、隐藏后门等目的,请及时确认您服务器上告警的系统文件是否为真实的系统文件。
敏感文件篡改 挪移系统文件 检测模型发现您的服务器上游进程尝试挪移系统文件,可能是攻击者在入侵过程中,通过挪移被安全软件监控的系统文件来达到绕过部分检测逻辑的目的。
敏感文件篡改 Linux共享库文件预加载配置文件可疑篡改 检测模型发现您服务器上的共享库文件预加载配置文件正在被可疑篡改。
其他 云安全中心客户端异常离线 检测模型发现您服务器上的云安全中心客户端主进程AliYunDun在当天异常离线,该情况可能是因为网络不稳定导致的暂时现象,也可能是因为遭到恶意黑客入侵导致云安全中心客户端被强制卸载。请登录服务器确认云安全中心客户端进程是否处于运行状态,如果不在请及时启动。
网站后门 发现后门(Webshell)文件 检测模型在您的服务器上发现了一个可疑的Webshell文件,可能是攻击者成功入侵网站后为维持权限植入的后门文件。
异常登录 恶意IP登录 检测模型发现您的服务器被恶意IP登录成功,该IP在历史上曾被发现存在恶意攻击行为。如果不是您的登录行为,请尽快修改ECS的密码。
异常登录 恶意IP登录(FTP) 检测模型发现您服务器上的FTP应用被恶意IP登录成功,此IP在历史上曾被发现过存在恶意攻击行为。如果不是您的登录行为,请尽快修改FTP的密码。
异常登录 恶意IP登录(MySQL) 检测模型发现您服务器上的MySQL应用被恶意IP登录成功,此IP在历史上曾被发现过存在恶意攻击行为。如果不是您的登录行为,请尽快修改MySQL的密码。
异常登录 后门账户登录 检测模型发现您的服务器之前被攻击者植入了后门账户,且该后门账户刚刚被成功登录,如果不是您的操作行为,请尽快删除此账号。
异常登录 弱口令账户登录 检测模型发现您的服务器存在弱口令的账户被成功登录,这可能是攻击者或者您自己的登录行为,弱口令是攻击者最常利用的入侵手段,建议您立即加强口令的强度,防止黑客入侵。
异常登录 疑似对外发起登录扫描活动 检测模型发现您的服务器频繁对外发起爆破扫描SSH、RDP、SMB等协议的行为,可能是您的服务器已被攻击者入侵并被用于跳板来攻击其他机器。
异常登录 异常位置登录 检测模型发现您的服务器在较短时间内发生了两次用户登录,而且源自地理位置相距较远的位置。其中一个位置为您的常用登录地。发生此次行为,说明您的登录请求从一个常用位置移动到异常位置。如果不是您的登录行为,请尽快修改服务器的密码。
异常登录 异常账户登录 检测模型发现您将异常账户添加进管理员用户组,并检测此账户有登录行为,如果不是您的操作行为,请尽快删除此账号。
异常登录 ECS被暴力破解成功(多个无效用户) 检测模型发现您的服务器被一个IP使用多个无效的用户名尝试登录, 并最后登录成功,如果不是您的登录行为,请尽快修改ECS的密码。
异常登录 ECS被暴力破解成功(RDP) 检测模型发现您的服务器正在被RDP暴力破解攻击,且攻击者在进行了一定次数的尝试后,试出了您的RDP服务密码,成功登录了系统。
异常登录 ECS登录后执行异常指令序列(SSH) 检测模型发现您的服务器在被一IP登录后,执行了一系列恶意指令,很有可能是由于您服务器的密码较弱或密码泄露被攻击者登录执行。
异常登录 ECS非常用时间登录 本次登录的时间非您定义的合法登录时间范畴,请您确认登录行为合法性。
异常登录 ECS非常用账号登录 本次登录的账号非您定义的合法账号范畴,请您确认登录行为合法性。
异常登录 ECS非常用IP登录 本次登录的IP非您定义的合法IP范畴,请您确认登录行为合法性。
异常登录 ECS在非常用地登录 本次登录的登录地非您定义的合法登录地范畴,请您确认登录的合法性。
异常网络连接 端口转发 检测模型发现您服务器上有进程正在尝试建立端口转发隧道,可能是攻击者在入侵服务器后,将该服务器作为跳板进而攻击内网的其他服务器。
异常网络连接 访问恶意域名 检测模型从DNS流量中发现您的服务器请求解析过这个风险系数高的域名,这个域名可能是远控、僵尸网络组织、矿池地址等恶意域名,意味着您的服务器可能已经沦陷并被黑客利用。
异常网络连接 可疑网络外连 检测模型发现您服务器正在访问的网络地址,疑似与中控后门、僵尸网络组织、矿池地址等地址相关。
异常网络连接 可疑Meterpreter反弹Shell连接 检测模型发现您的服务器上存在可疑进程,正在尝试利用黑客工具Meterpreter将命令控制通道反弹至攻击者的服务器。详细信息,请参见云安全中心反弹Shell多维检测技术详解
异常网络连接 矿池通信行为 检测模型发现您的服务器存在与矿池IP通信的流量,您的服务器可能已被攻击者入侵并用于挖矿。
异常网络连接 内网扫描 检测模型发现您的服务器有进程在短时间内对多个内网IP的指定端口发起了疑似扫描行为,可能是攻击者在入侵后,尝试进行横向移动的行为。
异常网络连接 疑似内网横向攻击 检测模型发现您的服务器上存在异常的内网连接,可能是攻击者入侵服务器后,进行内网横向移动的行为。
异常网络连接 异常网络流量 检测模型通过分析您服务器的流量,发现存在异常的网络流量通信,可能是成功的漏洞利用、恶意软件通信、敏感信息泄露、可疑的代理隧道等,请根据告警详情信息做进一步判断处理。
异常网络连接 主动连接恶意下载源 检测模型通过HTTP流量发现您的服务器正在尝试访问一个可疑的恶意下载源,可能是黑客通过弱口令或命令执行漏洞,从远程服务器下载恶意文件,危害服务器安全。
异常网络连接 Redis执行异常指令 检测模型发现到有攻击者连接您的Redis服务后执行了恶意SQL,可能导致您的服务器被攻击者控制。
异常账号 使用可疑账号登录系统 检测模型发现到当前有用户尝试使用默认禁用、系统内置账号、或疑似黑客账号登录系统,可能是黑客的入侵行为。

适用于Windows系统的告警

告警类型 具体检测项 检测原理说明
持久化后门 可疑自启动项 检测模型发现您服务器上的某些自启动项可疑,可能是恶意软件或者黑客在入侵后进行的持久化痕迹。
持久化后门 疑似后门 检测模型发现您的服务器上存在wmi或bitsadmin后门,可能是攻击者在入侵后用来维持对您的服务器权限。
持久化后门 异常代码驻留内存 检测模型发现您的服务器上某进程的内存空间中疑似存在恶意指令,该进程可能为攻击者在入侵后遗留的恶意软件,或者是向正常的进程注入了恶意的代码。
持久化后门 异常进程 检测模型发现您的服务器当前运行中的程序中存在异常进程,可能是恶意程序或利用正常程序加载了恶意代码。
持久化后门 异常注册表项 检测模型发现您服务器上的某个注册表配置项可疑,恶意软件常常会修改某些关键注册表配置来持久化运行或干扰正常的安全防护。
持久化后门 异常自启动项 检测模型发现您的服务器上存在异常的自启动项,可能是恶意软件或攻击者通过添加启动项来达到持久化的目的。
持久化后门 CobaltStrike远控木马 检测模型发现您服务器上某个进程内存空间内存在CobaltStrike 远控木马的恶意代码,可能该进程即为恶意程序或正常程序被注入了恶意指令。
恶意脚本 恶意脚本代码执行 检测模型发现您的服务器上正在执行恶意的Bash、Powershell、Python等脚本代码。
恶意脚本 发现恶意脚本文件 检测模型发现您的服务器上存在恶意脚本文件,该文件极有可能是攻击者成功入侵服务器后植入的,建议您根据恶意脚本的标签检查文件内容的合法性并进行处理。
恶意进程(云查杀) 恶意程序 检测模型发现您的服务器上运行了恶意程序,恶意程序一般是具备多种恶意行为特征的程序,或者具备骚扰、破坏行为的第三方程序。
恶意进程(云查杀) 访问恶意IP 检测模型发现您服务器上的进程正在尝试访问一个可疑的恶意IP,这个IP可能是黑客的中控IP,矿池IP等具有高风险的IP,发起连接行为的进程可能是黑客植入的恶意文件。
恶意进程(云查杀) 感染型病毒 检测模型发现您的服务器上运行了感染型病毒,感染型病毒是一类高级恶意程序,由病毒本体将恶意代码写入正常程序文件执行,因此往往有大量原本正常程序被感染后作为宿体被检出。
恶意进程(云查杀) 黑客工具 检测模型发现您的服务器上存在黑客工具,黑客工具是攻击者在入侵过程中用于权限提升、窃取敏感数据的工具,或用于卸载安全软件的程序,或入侵后植入系统的后门程序。
恶意进程(云查杀) 后门程序 检测模型发现您的服务器上运行了后门程序,后门程序是植入到系统中,用于给黑客对服务器做持续入侵的持久化程序。
恶意进程(云查杀) 可疑程序 检测模型发现您的服务器上运行了可疑程序,可疑程序一般是具有一定恶意代码特征或高可疑度行为特征的、暂未明确分类的程序,需要用户结合信息判断。
恶意进程(云查杀) 勒索病毒 检测模型发现您的服务器上运行了勒索病毒,勒索病毒是一类恶性程序,会对服务器上所有关键数据文件进行加密锁定以勒索赎金。
恶意进程(云查杀) 漏洞利用程序 检测模型发现您的服务器上运行了漏洞利用程序,漏洞利用程序用于攻击或尝试攻击操作系统、应用程序的已知漏洞,用于实现提权、逃逸、任意代码执行等目的。
恶意进程(云查杀) 木马程序 检测模型发现您的服务器上存在木马程序,木马程序是专门用于侵入用户服务器的程序,一般通过伪装植入系统后会下载、释放另外的恶意程序。
恶意进程(云查杀) 蠕虫病毒 检测模型发现您的服务器上运行了蠕虫病毒,蠕虫病毒是一类用于从已攻陷服务器,向其它服务器做攻击横向移动的程序,往往包括漏洞利用、密码爆破等行为。
恶意进程(云查杀) 挖矿程序 检测模型发现您的服务器上运行了挖矿程序,挖矿程序是一类侵占服务器计算资源,进行虚拟货币挖掘的程序,服务器往往可见CPU占用飙高,以及其它相关的恶意程序。
恶意进程(云查杀) 自变异木马 检测模型发现您的服务器上运行了自变异,自变异木马是具备自变异功能的木马程序,它会改变自身hash或者将自身大量复制到不同的路径下,并后台运行起来,以躲避清理。
恶意进程(云查杀) DDoS木马 检测模型发现您的服务器上运行了DDoS木马,DDoS木马是用于从被攻陷服务器上接受指令,对黑客指定目标发起DDoS攻击的恶意程序。
恶意进程(云查杀) Hashdump攻击异常事件 检测模型发现您的服务器上有wce、minikazi恶意软件运行,该工具可窃取系统账号HASH,导致您的账号密码泄漏。
进程异常行为 创建异常Windows计划任务 检测模型发现您的服务器上创建了异常的Windows计划任务,可能是恶意软件或攻击者在入侵过程中为维持权限而进行的行为。
进程异常行为 调用风险工具 检测模型发现您的服务器异常调用了风险工具,风险工具被攻击者用于代理、隧道、扫描工具等进一步入侵服务器的场景。
进程异常行为 调用wmic启动可疑进程 检测模型发现您服务器尝试使用wmic创建并执行程序,攻击者在入侵您服务器后,会通过创建wmic任务的方式来维持权限。
进程异常行为 访问恶意下载源 检测模型发现您的服务器正在尝试访问一个可疑的恶意下载源,可能是黑客通过弱口令或命令执行漏洞,从远程服务器下载恶意文件,危害服务器安全。
进程异常行为 高危应用执行异常指令 检测模型发现您服务器中的高危应用(如:Web服务、数据库服务、脚本、定时任务、自启动项等)执行了可疑命令,该服务可能已被攻击者攻破并通过其执行恶意命令。
进程异常行为 高危应用植入可疑文件 检测模型发现您服务器上的敏感服务(如Web应用等)创建了可疑的可执行文件或脚本,可能是攻击者通过漏洞攻击服务后向系统投递病毒或木马的行为。
进程异常行为 可疑的脚本操作 检测模型发现您的服务器上执行的某些与脚本相关的命令高度可疑,很有可能与恶意软件、黑客入侵有关。
进程异常行为 可疑的进程路径 检测模型发现您服务器上某个进程从一个不寻常的路径启动,常规软件通常不会在这种目录中,该进程有可能是病毒、木马、黑客入侵过程中放置的工具。
进程异常行为 可疑的进程文件名 检测模型发现您服务器上某个进程的文件名具有迷惑性后缀或是有模仿系统文件名的嫌疑,有可能是病毒、木马、黑客入侵过程中放置的工具。
进程异常行为 可疑端口监听异常进程 检测模型发现您的服务器出现异常的端口监听事件,攻击者在入侵服务器后,常常会借助nc等软件建立监听端口,以此建立隐蔽通信通道实现信息窃取等目的。
进程异常行为 可疑命令 检测模型发现您的服务器执行了可疑的信息收集命令,或启动的进程调用关系存在异常,可能与木马病毒或黑客入侵有关。
进程异常行为 可疑文件落盘执行 检测模型发现您的服务器上的某文件以一种可疑的方式被写入并执行,可能是攻击者从外部下载的恶意工具并执行。
进程异常行为 可疑注册表配置项修改 检测模型发现您服务器上有进程尝试修改注册表配置,可能是攻击者在获取服务器权限后写入后门代码或修改敏感配置。
进程异常行为 可疑CMD命令序列 检测模型发现您服务器上某进程执行了一系列可疑的命令,这些命令与攻击者入侵后通常会执行的命令序列非常相似,建议排查这些命令的父进程,可能为远控木马、存在漏洞的Web服务,或者是合法进程被注入了恶意代码。
进程异常行为 可疑procdump进程镜像转储 检测模型发现您的服务器上正在进行procdump进程镜像转储,该行为可能导致敏感数据泄漏。
进程异常行为 利用bitsadmin启动可疑进程 检测模型发现您的服务器尝试利用bitsadmin启动可疑进程,可能是攻击者利用该功能进行植入恶意程序以及执行恶意命令。
进程异常行为 利用Windows系统文件加载恶意代码 检测模型发现您的服务器执行的命令极有可能是有攻击者在利用Windows系统文件加载恶意代码,以此绕过安全软件的检测。
进程异常行为 启动项异常修改 检测模型发现您服务器上有进程正在尝试修改系统的自启动项,可能是木马病毒或攻击者通过这种方式来维持对您服务器的权限。
进程异常行为 使用attrib.exe修改文件的只读隐藏属性 检测模型发现您服务器上有进程正在尝试使用attrib.exe修改文件的只读隐藏属性。
进程异常行为 通过注册表添加自启动程序 检测模型发现您的服务器上有程序向注册表中添加自启动项,常见于流氓软件,含有后门的推广软件以及入侵持久化行为,也被正常软件用于开机自启动,请确认该进程路径是否为可信程序。
进程异常行为 通过FTP从远程服务器下载可疑文件到磁盘 检测模型发现您服务器上有进程正在尝试通过FTP从远程服务器下载可疑文件。
进程异常行为 通过RDP远程登录拷贝可疑文件到本地磁盘 检测模型发现有攻击者尝试通过RDP远程登录向您的服务器拷贝可疑文件,可能是因为您的服务器RDP登录密码被黑客窃取或爆破成功。
进程异常行为 系统备份异常删除 检测模型发现您服务器上有进程尝试删除系统备份文件,可能为勒索病毒为达到勒索的目的,通过删除系统的备份来阻止恢复文件。
进程异常行为 系统日志异常删除 检测模型发现您的服务器上有进程在删除系统日志,恶意软件或攻击者通常会通过清除系统日志来达到躲避检测的目的。
进程异常行为 疑似黑客工具 检测模型发现您服务器上执行的某些命令与常用的黑客工具非常类似,可能是由攻击者在入侵过程中执行的命令。
进程异常行为 疑似Windows提权操作 检测模型发现您的服务器上执行的某些命令非常可疑,极有可能是有攻击者在利用系统或应用漏洞获取更高的系统权限。
进程异常行为 异常的注册表操作 检测模型发现您的服务器上执行的某些命令操作Windows注册表的方式高度可疑,可能与恶意软件或攻击者入侵后在修改相关的配置项。
进程异常行为 异常调用数据库导出工具 检测模型通过对您服务器上进程的历史行为进行分析,发现可疑调用数据库导出工具行为,可能是攻击者在攻击成功后进行数据窃取的行为。
进程异常行为 异常调用系统工具 检测模型发现您服务器上有进程正以一种可疑方式的调用系统工具,木马病毒或黑客常常会通过这种方式绕过常规的安全软件来下载恶意文件、加载恶意代码、执行加解密操作等其他恶意操作。
进程异常行为 异常修改系统安全配置 检测模型发现您的服务器上有进程正在修改系统安全配置,可能为恶意软件或攻击者通过修改防火墙、杀毒软件配置来躲避检测。
进程异常行为 执行恶意命令 检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。
进程异常行为 CobaltStrike远控恶意行为 检测模型发现您的服务器中存在CobaltStrike控制端,并正在执行恶意操作命令。
进程异常行为 FTP应用执行异常指令 检测模型发现您的FTP应用执行了异常命令,可能是攻击者通过FTP应用的弱口令,借助FTP执行BAT批处理脚本功能,执行异常命令。
进程异常行为 Java应用执行异常指令 检测模型发现您的服务器上的Java进程启动了下载恶意程序、添加后门等高危行为,很可能是因为您使用了存在漏洞的Web框架或者中间件导致。
进程异常行为 Lsass.exe系统安全授权程序执行异常进程 检测模型发现您的服务器上的lsass.exe进程启动了异常命令,lsass.exe进程是系统的一个安全授权服务进程,负责为登录用户进行身份鉴权和Token令牌生成,有很多系统漏洞常常针对该服务进行缓冲区溢出攻击,使得攻击者获取目标进程的完全控制权。
进程异常行为 MySQL执行异常指令 检测模型发现您的MySQL服务执行了可疑的命令,可能是由于MySQL服务存在弱口令、或Web服务被SQL注入导致。
进程异常行为 Postgresql应用执行异常指令 检测模型发现到您的Postgres服务执行了可疑的命令,可能是由于Postgres服务存在弱口令、或Web服务被SQL注入导致。
进程异常行为 Python应用执行异常指令 检测模型发现您服务器上的Python应用执行异常命令,可能是由于您服务器上通过Python搭建的Web应用存在RCE漏洞并被利用成功。
进程异常行为 regsvr32.exe执行异常指令 检测模型发现您的服务器上存在regsvr32.exe执行异常指令,可能是攻击者为了躲避系统杀软查杀,将恶意代码包装在windows ocx COM文件中,并通过regsvr32来加载到内存中运行。
进程异常行为 rundll32.exe执行异常指令 检测模型发现您的服务器上存在rundll32.exe执行异常指令,可能是攻击者为了躲避系统杀软查杀,将恶意代码包装在Windows DLL文件中,并通过rundll32.exe来加载到内存中运行。
进程异常行为 Sqlserver写可疑文件到磁盘中 检测模型发现您服务器上SQL Server应用正在尝试写入可疑文件到磁盘中,可能是因为攻击者破解了SQL Server的登录密码并执行了恶意的SQL。
进程异常行为 Sqlserver应用执行异常指令 检测模型发现您的SQL Server服务执行了可疑的命令,可能是由于SQL Server服务存在弱口令,被攻击者借助SQL Server自身的命令执行组件执行了恶意命令。
进程异常行为 Tomcat执行异常指令 检测模型发现您的Tomcat容器执行了异常命令,可能是攻击者通过Tomcat容器中Java应用存在的RCE漏洞或Webshell执行了恶意命令。
进程异常行为 Windows Defender配置修改 检测模型发现您的服务器正在通过修改注册表的方式关闭Windows Defender安全软件的部分功能,可能是攻击者在入侵服务器后使用此方法来躲避检测与防御。
进程异常行为 Windows-3389-RDP配置被修改 检测模型发现您服务器的RDP配置正在被修改,可能是攻击者在入侵服务器后,为维持权限进行的操作。
进程异常行为 Windows创建计划任务 检测模型发现到您的服务器正在创建Windows计划任务,可能由于攻击者在入侵您服务器,为维持权限而植入后门。
进程异常行为 Windows创建可疑Service服务启动项 检测模型发现您的服务器上游进程正在尝试创建可疑的Service服务启动项,该服务器可能已经被植入恶意程序,恶意程序在运行过程中会通过创建服务的方式来维持权限。
进程异常行为 Windows登录凭证窃取 检测模型发现您的服务器上某些程序修改了注册表的WDigest项,该行为常见于黑客通过修改UseLogonCredential值使系统能够明文存储登录凭证,便于攻击者后续从内存中窃取登录凭证。
进程异常行为 Windows调用mshta执行html内嵌脚本指令 检测模型发现您服务器上有进程在尝试调用mshta执行html内嵌脚本指令,黑客可通过这种方式向服务器植入恶意程序。
进程异常行为 Windows可疑端口转发 检测模型发现您的服务器上执行的命令可能是在转发内网的敏感端口,攻击者在内网横向移动时常常采用这种方式。
进程异常行为 Windows系统防火墙配置修改 检测模型发现有进程正在尝试修改您服务器上的Windows系统防火墙配置,请注意。
进程异常行为 Windows新增自启动项 检测模型发现您的服务器存在异常的增加自启动项的行为,可能是攻击者在入侵服务器后,为维持权限,将恶意程序添加到启动项中
进程异常行为 Windows账户异常操作 检测模型发现您服务器上的命令在操作系统账户时的上下文可疑,可能是恶意软件或者攻击者在进行用户账户的操作。
其他 云安全中心客户端异常离线 检测模型发现您服务器上的云安全中心客户端主进程AliYunDun在当天异常离线,该情况可能是因为网络不稳定导致的暂时现象,也可能是因为遭到恶意黑客入侵导致云安全中心客户端被强制卸载。请登录服务器确认云安全中心客户端进程是否处于运行状态,如果不在请及时启动。
网站后门 发现后门(Webshell)文件 检测模型在您的服务器上发现了一个可疑的Webshell文件,可能是攻击者成功入侵网站后为维持权限植入的后门文件。
异常登录 恶意IP登录 检测模型发现您的服务器被恶意IP登录成功,该IP在历史上曾被发现存在恶意攻击行为。如果不是您的登录行为,请尽快修改ECS的密码。
异常登录 恶意IP登录(FTP) 检测模型发现您服务器上的FTP应用被恶意IP登录成功,此IP在历史上曾被发现过存在恶意攻击行为。如果不是您的登录行为,请尽快修改FTP的密码。
异常登录 恶意IP登录(MySQL) 检测模型发现您服务器上的MySQL应用被恶意IP登录成功,此IP在历史上曾被发现过存在恶意攻击行为。如果不是您的登录行为,请尽快修改MySQL的密码。
异常登录 恶意IP登录(SQL Server) 检测模型发现您服务器上的SQL Server应用被恶意IP登录成功,此IP在历史上曾被发现过存在恶意攻击行为。如果不是您的登录行为,请尽快修改SQL Server的密码。
异常登录 后门账户登录 检测模型发现您的服务器之前被攻击者植入了后门账户,且该后门账户刚刚被成功登录,如果不是您的操作行为,请尽快删除此账号。
异常登录 弱口令账户登录 检测模型发现您的服务器存在弱口令的账户被成功登录,这可能是攻击者或者您自己的登录行为,弱口令是攻击者最常利用的入侵手段,建议您立即加强口令的强度,防止黑客入侵。
异常登录 疑似对外发起登录扫描活动 检测模型发现您的服务器频繁对外发起爆破扫描SSH、RDP、SMB等协议的行为,可能是您的服务器已被攻击者入侵并被用于跳板来攻击其他机器。
异常登录 异常位置登录 检测模型发现您的服务器在较短时间内发生了两次用户登录,而且源自地理位置相距较远的位置。其中一个位置为您的常用登录地。发生此次行为,说明您的登录请求从一个常用位置移动到异常位置。如果不是您的登录行为,请尽快修改服务器的密码。
异常登录 异常账户登录 检测模型发现您服务器上的管理员组用户,从不常见的位置登录了服务器。如果不是您的操作行为,请尽快删除此账号。
异常登录 ECS被暴力破解成功(多个无效用户) 检测模型发现您的服务器被一个IP使用多个无效的用户名尝试登录, 并最后登录成功,如果不是您的登录行为,请尽快修改ECS的密码。
异常登录 ECS被暴力破解成功(SSH) 检测模型发现您的服务器正在被SSH暴力破解攻击,且攻击者在进行了一定次数的尝试后,试出了您的SSH服务密码,成功登录了系统。
异常登录 ECS登录后执行异常指令序列(SSH) 检测模型发现您的服务器在被一IP登录后,执行了一系列恶意指令,很有可能是由于您服务器的密码较弱或密码泄露被攻击者登录执行。
异常登录 ECS非常用时间登录 本次登录的时间非您定义的合法登录时间范畴,请您确认登录行为合法性。
异常登录 ECS非常用账号登录 本次登录的账号非您定义的合法账号范畴,请您确认登录行为合法性。
异常登录 ECS非常用IP登录 本次登录的IP非您定义的合法IP范畴,请您确认登录行为合法性。
异常登录 ECS在非常用地登录 本次登录的登录地非您定义的合法登录地范畴,请您确认登录的合法性。
异常网络连接 端口转发 检测模型发现您服务器上有进程正在尝试建立端口转发隧道,可能是攻击者在入侵服务器后,将该服务器作为跳板进而攻击内网的其他服务器。
异常网络连接 访问恶意域名 检测模型从DNS流量中发现您的服务器请求解析过这个风险系数高的域名,这个域名可能是远控、僵尸网络组织、矿池地址等恶意域名,意味着您的服务器可能已经沦陷并被黑客利用。
异常网络连接 可疑Meterpreter反弹Shell连接 检测模型发现您的服务器上存在可疑进程,正在尝试利用黑客工具Meterpreter将命令控制通道反弹至攻击者的服务器。详细信息,请参见云安全中心反弹Shell多维检测技术详解
异常网络连接 矿池通信行为 检测模型发现您的服务器存在与矿池IP通信的流量,您的服务器可能已被攻击者入侵并用于挖矿。
异常网络连接 内网扫描 检测模型发现您的服务器有进程在短时间内对多个内网IP的指定端口发起了疑似扫描行为,可能是攻击者在入侵后,尝试进行横向移动的行为。
异常网络连接 疑似敏感端口扫描行为 检测模型发现您服务器上的某个进程在短时间内对敏感端口发起过多的网络请求,疑似端口扫描行为。
异常网络连接 异常网络流量 检测模型通过分析您服务器的流量,发现存在异常的网络流量通信,可能是成功的漏洞利用、恶意软件通信、敏感信息泄露、可疑的代理隧道等,请根据告警详情信息做进一步判断处理。
异常网络连接 主动连接恶意下载源 检测模型通过HTTP流量发现您的服务器正在尝试访问一个可疑的恶意下载源,可能是黑客通过弱口令或命令执行漏洞,从远程服务器下载恶意文件,危害服务器安全。
异常网络连接 Windows异常网络连接 检测模型发现您服务器上某个进程的网络连接行为异常,很有可能与病毒、木马或黑客行为有关。
异常账号 使用可疑账号登录系统 检测模型发现到当前有用户尝试使用默认禁用、系统内置账号、或疑似黑客账号登录系统,可能是黑客的入侵行为。

适用于容器环境的告警

告警分类 具体检测项 检测原理说明
恶意进程(云查杀) 恶意程序 检测模型发现您的服务器上运行了恶意程序,恶意程序一般是具备多种恶意行为特征的程序,或者具备骚扰、破坏行为的第三方程序。
恶意进程(云查杀) 访问恶意IP 检测模型发现您服务器上的进程正在尝试访问一个可疑的恶意IP,这个IP可能是黑客的中控IP,矿池IP等具有高风险的IP,发起连接行为的进程可能是黑客植入的恶意文件。
恶意进程(云查杀) 感染型病毒 检测模型发现您的服务器上运行了感染型病毒,感染型病毒是一类高级恶意程序,由病毒本体将恶意代码写入正常程序文件执行,因此往往有大量原本正常程序被感染后作为宿体被检出。
恶意进程(云查杀) 黑客工具 检测模型发现您的服务器上存在黑客工具,黑客工具是攻击者在入侵过程中用于权限提升、窃取敏感数据的工具,或用于卸载安全软件的程序,或入侵后植入系统的后门程序。
恶意进程(云查杀) 后门程序 检测模型发现您的服务器上运行了后门程序,后门程序是植入到系统中,用于给黑客对服务器做持续入侵的持久化程序。
恶意进程(云查杀) 可疑程序 检测模型发现您的服务器上运行了可疑程序,可疑程序一般是具有一定恶意代码特征或高可疑度行为特征的、暂未明确分类的程序,需要用户结合信息判断。
恶意进程(云查杀) 勒索病毒 检测模型发现您的服务器上运行了勒索病毒,勒索病毒是一类恶性程序,会对服务器上所有关键数据文件进行加密锁定以勒索赎金。
恶意进程(云查杀) 木马程序 检测模型发现您的服务器上存在木马程序,木马程序是专门用于侵入用户服务器的程序,一般通过伪装植入系统后会下载、释放另外的恶意程序。
恶意进程(云查杀) 蠕虫病毒 检测模型发现您的服务器上运行了蠕虫病毒,蠕虫病毒是一类用于从已攻陷服务器,向其它服务器做攻击横向移动的程序,往往包括漏洞利用、密码爆破等行为。
恶意进程(云查杀) 挖矿程序 检测模型发现您的服务器上运行了挖矿程序,挖矿程序是一类侵占服务器计算资源,进行虚拟货币挖掘的程序,服务器往往可见CPU占用飙高,以及其它相关的恶意程序。
恶意进程(云查杀) 自变异木马 检测模型发现您的服务器上运行了自变异,自变异木马是具备自变异功能的木马程序,它会改变自身hash或者将自身大量复制到不同的路径下,并后台运行起来,以躲避清理。
恶意进程(云查杀) DDoS木马 检测模型发现您的服务器上运行了DDoS木马,DDoS木马是用于从被攻陷服务器上接受指令,对黑客指定目标发起DDoS攻击的恶意程序。
进程异常行为 篡改文件时间 检测模型发现您的服务器上有进程尝试篡改文件时间,可能是攻击者在入侵过程中通过模仿系统正常文件时间来伪造异常文件真实的创建、访问、修改时间,以达到逃避检测的目的。
进程异常行为 存在风险的Docker远程调试接口 检测模型发现您的Docker远程调试接口对0.0.0.0开放,暴露在公网的Docker远程调试接口会迅速被蠕虫入侵,请确保该接口仅暴露在可信的网络环境中。
进程异常行为 访问恶意下载源 检测模型发现您的服务器正在尝试访问一个可疑的恶意下载源,可能是黑客通过弱口令或命令执行漏洞,从远程服务器下载恶意文件,危害服务器安全。
进程异常行为 服务应用执行可疑命令 检测模型根据您服务器上的进程历史行为自动分析,发现该服务进程启动的命令较为可疑,可能是攻击者在利用该服务的RCE漏洞成功执行了命令。
进程异常行为 可疑编码命令 检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。
进程异常行为 可疑特权容器启动 检测模型发现您的服务器中有可疑的特权容器启动,特权容器会降低容器运行时的安全性,一旦被入侵者攻破将危害到宿主服务器上的其他容器和资产,请确保您的特权容器采用了可信的镜像源,并确保其运行的服务难以被入侵。
进程异常行为 可疑文件落盘执行 检测模型发现您的服务器上的某文件以一种可疑的方式被写入并执行,可能是攻击者从外部下载的恶意工具并执行。
进程异常行为 可疑行为 检测模型通过对您服务器上的历史进程行为自动分析,发现该命令较为可疑。
进程异常行为 容器发起网络扫描行为 检测模型发现您的容器内部正在主动发起可疑的网络扫描行为,可能是攻击者通过此种方法进行深入渗透和横向移动。
进程异常行为 容器高风险操作 检测模型发现您的服务器正在执行高风险的容器操作,包括通过高危权限启动容器,向容器内部映射敏感目录、文件及端口等行为。
进程异常行为 容器内部可疑命令执行 检测模型发现您的容器内部存在异常命令执行,存在入侵风险。
进程异常行为 容器内部凭证信息搜集 检测模型发现您的容器内部存在访问敏感文件行为,如:Docker/Swarm/K8s配置文件、数据库连接配置、登录凭证、API Access Key、证书及私钥文件等。请及时确认是否存在入侵事件和数据泄露风险。
进程异常行为 容器内部提权或逃逸 检测模型在您的容器中发现可疑提权脚本、指令或漏洞信息,您的容器资产很有可能已被入侵。
进程异常行为 容器内部信息搜集 检测模型发现您服务器上的容器内部执行了可疑命令,此类命令常见于攻击者入侵容器后在容器内部进行信息搜集行为。如果不是可信服务触发(如安全软件、管理员运维行为等),请及时重置容器。
进程异常行为 运行恶意容器镜像 检测模型发现您的服务器正在运行恶意的容器镜像,该镜像极有可能包含后门、挖矿程序、病毒或已知的严重漏洞,请及时排查并使用可信的镜像资源。
进程异常行为 Docker异常文件操作 检测模型发现您服务器上的Docker进程正在修改系统核心服务配置或敏感文件,这可能意味着攻击者利用Docker自身漏洞劫持了某些Docker服务并利用其完成容器逃逸攻击(如:CVE-2019-5736 Docker RunC逃逸漏洞、CVE-2019-14271 Docker CP逃逸漏洞),请排查当前Docker版本是否存在此类漏洞。
进程异常行为 FTP应用执行异常指令 检测模型发现您的FTP应用执行了异常命令,可能是攻击者通过FTP应用的弱口令,借助FTP执行BAT批处理脚本功能,执行异常命令。
进程异常行为 Java应用执行异常指令 检测模型发现您的服务器上的Java进程启动了下载恶意程序、添加后门等高危行为,很可能是因为您使用了存在漏洞的Web框架或者中间件导致。
进程异常行为 K8s Service Account异常行为 检测模型发现您的容器内部存在异常指令,该指令尝试通过K8s Service Account方式连接K8s API Server,请排查相关指令是否为可信服务或可信行为触发(例如安全软件、管理员运维行为等),同时请保证该账号拥有最小必要权限,以免攻击者入侵容器后可以进一步通过K8s API横向移动。
进程异常行为 Linux可疑命令序列 检测模型发现您服务器上某进程执行了一系列可疑的命令,这些命令与攻击者入侵后通常会执行的命令序列非常相似,建议排查这些命令的父进程,可能为远控木马、存在漏洞的Web服务,或者是合法进程被注入了恶意代码。
进程异常行为 Linux可疑命令执行 检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。
进程异常行为 Oracle执行异常指令 检测模型发现您的服务器上的Oracle数据库执行了可疑命令,可能是因为数据库密码泄漏导致黑客远程命令执行。
进程异常行为 Tomcat执行异常指令 检测模型发现您的Tomcat容器执行了异常命令,可能是攻击者通过Tomcat容器中Java应用存在的RCE漏洞或Webshell执行了恶意命令。
容器集群异常 恶意镜像Pod启动 检测模型发现您的K8s集群中启动了含有恶意镜像的Pod,请及时排查该Image是否来自可信来源,以及Pod内部进程是否存在后门、挖矿程序等恶意程序。
容器集群异常 K8s API Server执行异常指令 检测模型发现您的K8s API执行异常指令,这意味着您的API Server凭证可能已被黑客获取并利用,请及时排查您的服务器是否已被入侵。
容器集群异常 K8s Secrets异常访问 检测模型发现您的K8s集群中存在枚举Secrets的行为,这可能意味着您的集群遭到入侵后攻击者正在窃取K8s Secrets中的敏感信息,请及时排查该操作是否由可信程序或管理员触发。
容器集群异常 K8s Service Account横向移动 检测模型发现您的某个Service Account请求了历史基线外的权限,或多次触发鉴权失败。这通常出现在攻击者入侵到某个Pod内部并利用本地获取到的Service Account凭证攻击API Server的过程,请及时排查。
容器集群异常 K8s匿名用户认证成功 检测模型发现您的K8s API日志中存在成功的匿名登录事件,一般情况下匿名用户不应用于K8s运维工作,允许匿名登录且暴露在公网的集群风险较高,请及时排查改操作是否由可信管理员触发,并及时清理匿名用户的访问权限。
容器集群异常 Node敏感目录挂载 检测模型发现您的Pod启动时挂载了敏感目录或文件,这可能是黑客通过挂载敏感文件从而从Pod层逃逸到Node层的持久化方式,请及时排查该行为是否为可信操作。
网站后门 发现后门(Webshell)文件 检测模型在您的服务器上发现了一个可疑的Webshell文件,可能是攻击者成功入侵网站后为维持权限植入的后门文件。
异常网络连接 可疑网络外连 检测模型发现您服务器正在访问的网络地址,疑似与中控后门、僵尸网络组织、矿池地址等地址相关。
异常网络连接 矿池通信行为 检测模型发现您的服务器存在与矿池IP通信的流量,您的服务器可能已被攻击者入侵并用于挖矿。
异常网络连接 内网扫描 检测模型发现您的服务器有进程在短时间内对多个内网IP的指定端口发起了疑似扫描行为,可能是攻击者在入侵后,尝试进行横向移动的行为。
异常网络连接 Redis执行异常指令 检测模型发现到有攻击者连接您的Redis服务后执行了恶意SQL,可能导致您的服务器被攻击者控制。

适用于阿里云平台的告警

告警类型 具体检测项 检测原理说明
云产品威胁检测 可疑的更改指定用户密码行为 检测模型发现您的云账户通过OpenAPI修改了特定用户密码,且该行为并非一高频行为,很有可能是攻击者已经获取了您的AccessKey进行恶意操作。
云产品威胁检测 可疑的枚举安全组规则行为 检测模型发现您的云账户通过OpenAPI枚举了安全组策略,且该行为并非一高频行为,很有可能是攻击者已经获取了您的AccessKey进行恶意操作。
云产品威胁检测 可疑的枚举所有用户行为 检测模型发现您的云账户通过OpenAPI枚举了用户,且该行为并非一高频行为,很有可能是黑客已经获取了您的AccessKey进行恶意操作。
云产品威胁检测 可疑的枚举指定角色权限行为 检测模型发现您的云账户通过OpenAPI枚举了指定角色权限,且该行为并非一高频行为,很有可能是黑客已经获取了您的AccessKey进行恶意操作。
云产品威胁检测 可疑的删除安全组规则行为 检测模型发现您的云账户通过OpenAPI删除了安全组策略,且该行为并非一高频行为,很有可能是攻击者已经获取了您的AccessKey进行恶意操作。
云产品威胁检测 可疑的修改安全组规则行为 检测模型发现您的云账户通过OpenAPI修改了安全组策略,且该行为并非一高频行为,很有可能是攻击者已经获取了您的AccessKey进行恶意操作。
云产品威胁检测 可疑的修改ECS密码行为 检测模型发现您的云账户通过OpenAPI修改了ECS密码,且该行为并非一高频行为,很有可能是黑客已经获取了您的AccessKey进行恶意操作。
云产品威胁检测 可疑的增加安全组规则行为 检测模型发现您的云账户通过OpenAPI添加了安全组策略,且该行为并非一高频行为,很有可能是攻击者已经获取了您的AccessKey进行恶意操作。
云产品威胁检测 可疑的增加SSH Key到ECS行为 检测模型发现您的云账户通过OpenAPI添加了SSH KEY,且该行为并非一高频行为,很有可能是黑客已经获取了您的AccessKey进行恶意操作。
云产品威胁检测 云助手异常命令 检测模型发现您的云账户通过云助手OpenAPI在您的服务器上调用了命令,且命令的内容较为恶意,很有可能是黑客已经获取了您的AccessKey进行恶意操作。
云产品威胁检测 ActionTrail被关闭 检测模型发现您的云账户通过OpenAP关闭了ActionTrail,这有可能是攻击者为了避免恶意行为被记录而采取的操作,为了安全我们建议您保持ActionTrail开启。
云产品威胁检测 ActionTrail被关闭OSS投递 检测模型发现您的云账户通过OpenAPI关闭了ActionTrail,这有可能是攻击者为了避免恶意行为被记录而采取的操作,为了安全我们建议您保持ActionTrail投递功能开启。
云产品威胁检测 ActionTrail被关闭SLS投递 检测模型发现您的云账户通过OpenAPI关闭了ActionTrail,这有可能是攻击者为了避免恶意行为被记录而采取的操作,为了安全我们建议您保持ActionTrail投递功能开启。

通过分析流量内容得出的告警

告警类型 具体检测项 检测原理说明
异常网络连接 访问恶意域名 检测模型从DNS流量中发现您的服务器请求解析过这个风险系数高的域名,这个域名可能是远控、僵尸网络组织、矿池地址等恶意域名,意味着您的服务器可能已经沦陷并被黑客利用。
异常网络连接 可疑Meterpreter反弹Shell连接 检测模型发现您的服务器上存在可疑进程,正在尝试利用黑客工具Meterpreter将命令控制通道反弹至攻击者的服务器。
异常网络连接 矿池通信行为 检测模型发现您的服务器存在与矿池IP通信的流量,您的服务器可能已被攻击者入侵并用于挖矿。
异常网络连接 异常网络流量 检测模型通过分析您服务器的流量,发现存在异常的网络流量通信,可能是成功的漏洞利用、恶意软件通信、敏感信息泄露、可疑的代理隧道等,请根据告警详情信息做进一步判断处理。
异常网络连接 主动连接恶意下载源 检测模型通过HTTP流量发现您的服务器正在尝试访问一个可疑的恶意下载源,可能是黑客通过弱口令或命令执行漏洞,从远程服务器下载恶意文件,危害服务器安全。
异常网络连接 Redis执行异常指令 检测模型发现到有攻击者连接您的Redis服务后执行了恶意SQL,可能导致您的服务器被攻击者控制。
Web应用威胁检测 成功的SQL注入攻击 检测模型通过分析HTTP流量发现您服务器上的Web服务疑似存在SQL注入漏洞并已被黑客利用。
Web应用威胁检测 高危漏洞成功利用 检测模型通过分析HTTP流量发现您的服务器存在高危Web漏洞,并且已被攻击者成功利用。
Web应用威胁检测 敏感文件泄露 检测模型通过分析HTTP流量发现您服务器上的敏感文件被外部IP通过HTTP接口直接访问,该行为可能会导致您的敏感数据泄露,从而引发攻击者进一步的攻击。
Web应用威胁检测 疑似成功的Web攻击 检测模型发现发生到您服务器的HTTP请求日志中存在命令语句,并且对应的响应中存在命令执行的结果,这意味着您的服务器的Web服务可能存在命令执行漏洞并被黑客利用。

通过分析文件内容的告警

告警类型 具体检测项 检测原理说明
持久化后门 Linux可疑计划任务 检测模型发现您服务器上存在可疑的计划任务,这可能被攻击者在入侵机器后进行的持久化行为。
恶意脚本 发现恶意脚本文件 检测模型发现您的服务器上存在恶意脚本文件,该文件极有可能是攻击者成功入侵服务器后植入的,建议您根据恶意脚本的标签检查文件内容的合法性并进行处理。
恶意进程(云查杀) 被污染的基础软件 检测模型发现您的服务器上存在被污染的基础软件,被污染的基础软件是一类特殊的恶意程序,一般是被植入了恶意代码的正常系统程序,虽然具备原始基础软件的功能但具有隐藏的恶意行为。
恶意进程(云查杀) 恶意程序 检测模型发现您的服务器上运行了恶意程序,恶意程序一般是具备多种恶意行为特征的程序,或者具备骚扰、破坏行为的第三方程序。
恶意进程(云查杀) 感染型病毒 检测模型发现您的服务器上运行了感染型病毒,感染型病毒是一类高级恶意程序,由病毒本体将恶意代码写入正常程序文件执行,因此往往有大量原本正常程序被感染后作为宿体被检出。
恶意进程(云查杀) 黑客工具 检测模型发现您的服务器上存在黑客工具,黑客工具是攻击者在入侵过程中用于权限提升、窃取敏感数据的工具,或用于卸载安全软件的程序,或入侵后植入系统的后门程序。
恶意进程(云查杀) 后门程序 检测模型发现您的服务器上运行了后门程序,后门程序是植入到系统中,用于给黑客对服务器做持续入侵的持久化程序。
恶意进程(云查杀) 可疑程序 检测模型发现您的服务器上运行了可疑程序,可疑程序一般是具有一定恶意代码特征或高可疑度行为特征的、暂未明确分类的程序,需要用户结合信息判断。
恶意进程(云查杀) 勒索病毒 检测模型发现您的服务器上运行了勒索病毒,勒索病毒是一类恶性程序,会对服务器上所有关键数据文件进行加密锁定以勒索赎金。
恶意进程(云查杀) 木马程序 检测模型发现您的服务器上存在木马程序,木马程序是专门用于侵入用户服务器的程序,一般通过伪装植入系统后会下载、释放另外的恶意程序。
恶意进程(云查杀) 蠕虫病毒 检测模型发现您的服务器上运行了蠕虫病毒,蠕虫病毒是一类用于从已攻陷服务器,向其它服务器做攻击横向移动的程序,往往包括漏洞利用、密码爆破等行为。
恶意进程(云查杀) 挖矿程序 检测模型发现您的服务器上运行了挖矿程序,挖矿程序是一类侵占服务器计算资源,进行虚拟货币挖掘的程序,服务器往往可见CPU占用飙高,以及其它相关的恶意程序。
恶意进程(云查杀) 自变异木马 检测模型发现您的服务器上运行了自变异,自变异木马是具备自变异功能的木马程序,它会改变自身hash或者将自身大量复制到不同的路径下,并后台运行起来,以躲避清理。
恶意进程(云查杀) DDoS木马 检测模型发现您的服务器上运行了DDoS木马,DDoS木马是用于从被攻陷服务器上接受指令,对黑客指定目标发起DDoS攻击的恶意程序。
恶意进程(云查杀) Rootkit 检测模型发现您的服务器上存在Rootkit,Rootkit是一类植入到系统底层、用于隐藏自身或其它恶意程序痕迹的恶意模块。
网站后门 发现后门(Webshell)文件 检测模型在您的服务器上发现了一个可疑的Webshell文件,可能是攻击者成功入侵网站后为维持权限植入的后门文件。

适用Fileless攻击手法的告警

告警类型 具体检测项 检测原理说明
持久化后门 疑似后门 检测模型发现您的服务器上存在wmi或bitsadmin后门,可能是攻击者在入侵后用来维持对您的服务器权限。
持久化后门 异常代码驻留内存 检测模型发现您的服务器上某进程的内存空间中疑似存在恶意指令,该进程可能为攻击者在入侵后遗留的恶意软件,或者是向正常的进程注入了恶意的代码。
持久化后门 异常注册表项 检测模型发现您服务器上的某个注册表配置项可疑,恶意软件常常会修改某些关键注册表配置来持久化运行或干扰正常的安全防护。
持久化后门 CobaltStrike远控木马 检测模型发现您服务器上某个进程内存空间内存在CobaltStrike 远控木马的恶意代码,可能该进程即为恶意程序或正常程序被注入了恶意指令。
恶意脚本 恶意脚本代码执行 检测模型发现您的服务器上正在执行恶意的Bash、Powershell、Python等脚本代码。
进程异常行为 服务应用执行可疑命令 检测模型根据您服务器上的进程历史行为自动分析,发现该服务进程启动的命令较为可疑,可能是攻击者在利用该服务的RCE漏洞成功执行了命令。
进程异常行为 可疑注册表配置项修改 检测模型发现您服务器上有进程尝试修改注册表配置,可能是攻击者在获取服务器权限后写入后门代码或修改敏感配置。
进程异常行为 Java应用执行异常指令 检测模型发现您的服务器上的Java进程启动了下载恶意程序、添加后门等高危行为,很可能是因为您使用了存在漏洞的Web框架或者中间件导致。
进程异常行为 Linux计划任务执行异常指令 检测模型发现您服务器的计划任务执行了异常命令,可能是攻击者在入侵服务器后,为维持权限,将恶意命令写入到计划任务中。
进程异常行为 Python应用执行异常指令 检测模型发现您服务器上的Python应用执行异常命令,可能是由于您服务器上通过Python搭建的Web应用存在RCE漏洞并被利用成功。
进程异常行为 Tomcat执行异常指令 检测模型发现您的Tomcat容器执行了异常命令,可能是攻击者通过Tomcat容器中Java应用存在的RCE漏洞或Webshell执行了恶意命令。