黑客入侵行为扫描主要扫描什么内容?是如何实现的?

云安全中心发现的所有黑客入侵行为,有一半是通过扫描检测得出,一半是通过阿里云安全工程师分析客户流量数据并加以验证得出。

常见的入侵包括:后门(Webshell+一句话shell)和肉鸡行为(对外DDoS+对外爆破)。

ECS登录弱口令是指系统层面的RDP或者SSH扫描吗?

弱口令包含两种,一种是RDP和SSH的弱口令,一种是类似CMS管理员后台登录的弱口令。

如何处理SSH、RDP远程登录被拦截?

如果您发现当前IP无法远程连接(SSH、RDP)云上服务器,您可以在安全管控管理控制台将登录IP加入到服务器白名单,防止其访问服务器时被拦截。

参照以下步骤,将登录IP地址添加到服务器白名单:
  1. 登录云安全中心控制台
  2. 在左侧导航栏,单击安全运营 > 设置,在设置页签中的安全管控模块,单击设置,跳转到安全管控管理控制台。安全管控跳转入口
    说明 您也可以将鼠标移至阿里云管理控制台右上角的账户图标,在悬浮菜单中单击安全管控进入安全管控管理控制台。安全管控入口
  3. 在安全管控管理控制台左侧导航栏,定位到白名单管理 > IP白名单页面,单击添加
  4. 源IP文本框中输入需要加入IP白名单的IP地址,并配置允许该IP地址登录的服务器。从左侧服务器框中选择目标服务器(可多选),并单击右向箭头,将其添加到右侧白名单配置生效的已选服务器框中。添加IP地址
  5. 配置完成后,单击确定

为什么修改22端口后仍然出现密码暴力破解提示?

如果您将Linux服务器上的SSH服务的默认端口从22修改为其它端口,您仍然可能收到云安全中心安全告警功能提示的密码暴力破解告警信息。

云安全中心异常登录事件检测会根据尝试登录SSH服务的频繁度,检测是否存在暴力破解攻击行为,与端口无关。因此,即使您已修改SSH服务的默认端口,当恶意攻击者尝试暴力破解您的SSH服务时,云安全中心仍然能正常检测到攻击行为并为您提示告警信息。

如果您的服务器被暴力破解成功,建议您及时对服务器进行安全加固。详细内容请参见被暴力破解成功之后该怎么办?

为什么安全组或者防火墙规则已经屏蔽了RDP服务的3389端口,但RDP还是有被暴力破解的记录?

由于Windows登录审核机制的原因, $IPC 、RDP、SAMBA服务的登录审核过程被记录在同一个日志里面,且未区分具体登录方式。所以,在已经屏蔽了RDP服务端口还出现RDP被暴力破解记录时,您需要检查是否还开启了其它两个服务。

检查方法是查看ECS是否有监听135、139、445等端口并且外网IP均可访问,并且查看Windows安全类日志是否在该时段有对应的登录记录。

被暴力破解成功之后该怎么处理?

如果您的服务器密码被暴力破解成功,攻击者很有可能已经入侵并登录您的服务器并留下恶意程序,建议您采取以下步骤加固您的服务器安全:
  • 修改服务器用户密码

    请尽快更换您服务器被暴力破解成功的用户密码,建议您使用复杂密码。

  • 使用云安全中心基线检查功能进行风险检测
    使用云安全中心的基线检查功能全面检测您的服务器安全,并根据建议处理风险项。
    说明 基线配置检查功能仅在云安全中心企业版中提供。
  • 重置您的服务器,并加固服务器安全

    参考ECS安全部署方法,加固您的服务器安全。