检测响应常见问题

本文汇总了检测响应的常见问题。

Rootkit告警支持实时检测吗?

不支持。

云安全中心通过定时任务,触发对内存的扫描,来判断是否存在Rootkit威胁。如果存在Rootkit威胁,会产生Rootkit告警。Rootkit检测详细信息,请参见检测Linux Rootkit入侵威胁

如何判断资产中是否存在挖矿威胁?

如果您服务器的CPU使用率明显升高,例如达到80%以上,并且出现未知进程持续向外发送网络包的情况,可以判定您的服务器中存在挖矿威胁。

云安全中心防护的资产被挖矿程序入侵时,云安全中心会向您发送告警短信或邮件,您可以在安全告警处理页面处理挖矿事件告警。挖矿程序如果关联了其他告警事件,例如矿池通信行为访问恶意域名等,建议您一并处理关联的告警事件。如何查看和处理关联告警,请参见查看安全告警

挖矿告警

未开启病毒拦截,我的服务器遭受挖矿攻击,该如何处理?

您可以参考以下步骤处理挖矿告警并开启恶意主机行为防御能力。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择检测响应 > 安全告警处理

  3. 安全告警处理页面,定位到相应告警,单击其操作处理

  4. 在弹出的提示框,选择病毒查杀结束进程并隔离源文件结束该进程的运行

  5. 单击立即处理,完成挖矿告警事件处理。

  6. 在左侧导航栏,选择系统配置 > 功能设置

  7. 功能设置页面,定位到设置页签主机防护设置子页签的主动防御区域,打开恶意主机行为防御开关,开启病毒拦截功能。

我不小心将挖矿告警加入了白名单,该如何取消?

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择检测响应 > 安全告警处理

  3. 安全告警处理页面,将筛选条件改为已处理,可以看到已经处理过的全部告警。

  4. 定位到相应告警,单击其操作取消白名单,即可恢复该告警。

如何确认病毒自动拦截已生效?

登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)功能设置页面开启了恶意主机行为防御功能后,在左侧导航栏,选择检测响应 > 安全告警处理安全告警处理页面,单击精准防御,如果筛选出的告警防御状态为拦截成功,说明病毒自动拦截已生效。精准防御拦截成功

云安全中心如何发现黑客入侵行为?

云安全中心发现的所有黑客入侵行为,是通过扫描检测和阿里云安全工程师分析客户流量数据并加以验证得出的。

常见的黑客入侵行为有哪些?

云安全中心提供的告警检测项已经覆盖了常见的黑客入侵行为,包括后门、暴力破解、挖矿等。详细内容,请参见安全告警类型列表

phpinfo为什么会产生告警,是否为误报?

不是误报。

phpinfo包含大量敏感信息,例如网站绝对路径等,具有较高的风险性,可能存在被黑客利用的风险。大部分黑客第一步都会上传phpinfo从而为进一步渗透获取更多信息。如果您确认该文件是您业务所需的正常文件,您可以登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)在左侧导航栏,选择检测响应 > 安全告警处理安全告警处理页面处理该告警时选择加入白名单

是否可以自动隔离WebShell文件?

不可以。由于WebShell文件可能涉及您业务方面的信息,需要您判断后手动隔离。被隔离的文件可以在文件隔离箱中找到,且30天内可以恢复。关于文件隔离箱的更多信息,请参见查看和恢复隔离文件

云安全中心WebShell检测的原理是什么?

云安全中心采用以下扫描方式,检测PHP、ASP、JSP等类型的网站脚本文件。

  • 落盘扫描:指文件上传或下载到服务器上,被感知到了落盘行为从而进行的文件扫描检测,发现恶意的文件时上报告警。

  • 实时监测Web目录。

  • 定时扫描Web目录。

安全告警可以将哪些对象加入白名单?

安全告警处理功能支持对恶意软件类的告警进行加白名单的操作。加入白名单操作仅针对当前告警事件中的访问源进行加白。支持加入白名单的告警类型详见以下表格。

告警类型

加白对象

恶意软件

基于文件MD5值加白

异常登录

对异常登录的IP加白

访问恶意IP、矿池通信行为

基于IP加白

访问恶意域名

基于域名加白

访问恶意下载源、主动连接恶意下载源

基于URL加白

WebShell

基于Web目录配置加白

恶意脚本

基于MD5和路径加白

云产品威胁检测

支持在控制台配置加白规则

进程异常行为

基于命令行加白

持久化后门

基于文件MD5和特征加白

敏感文件篡改

基于文件路径加白

应用入侵事件

基于命令行加白

Web应用威胁检测

基于域名或URL加白

异常网络连接

基于进程命令行、目标IP、目标端口加白。如果有部分字段缺失,仅对已有字段加白。

为什么某些告警状态为已过期数据?

如果告警最后一次发生时间距离现在超过30天,云安全中心会将该告警状态置为已过期。如果后续再次检测到该告警发生,云安全中心会更新该告警发生时间为最新检测到的时间,并将该告警的状态置为未处理

为什么可疑域名访问告警首次发生时间和检出时间不一致?

云安全中心在接收到DNS解析数据时,需要使用算法对DNS解析数据做分析和处理,且收到的DNS解析数据本身也会存在一定的延迟。故可疑域名访问告警的首次发生时间会比检出时间晚,该时间差在5个小时内为正常情况。

云安全中心检测和告警异常登录功能的原理是什么?

在服务器安装Agent后,云安全中心异常登录功能可以检测您服务器上的登录行为,并对非常用登录地的登录行为进行告警。在云安全中心控制台安全告警处理页面,可以查看服务器登录异常相关告警。

云安全中心Agent通过定时收集您服务器上的登录日志并上传到云端,在云端进行分析和匹配。如果发现在非常用登录地或非常用登录IP、非常用登录时间、非常用登录账号的登录成功事件,将会触发事件告警。以下内容说明如何判定不同IP的具体登录行为:

  • 当云安全中心首次应用于您的服务器上时,由于服务器未设置常用登录地,这段期间内的登录行为不会触发告警。

  • 当某个公网IP第一次成功登录服务器后,云安全中心会将该IP地址的位置记为常用登录地,并将从该时间点往后顺延24小时内的所有公网登录地都记为常用登录地。当超过24小时后,所有不在上述常用登录地的登录行为均被视为异地登录进行告警。

  • 当某个IP被判定为异地登录行为,只会有第一次登录行为进行短信告警。如果该IP成功登录6次或6次以上,云安全中心默认将此IP的地点记录为常用登录地。

    说明

    异地登录只针对公网IP生效。

以下是关于非常用登录IP登录的告警策略:

  • 云安全中心会对某个异地IP的第一次登录行为进行短信告警。如果该IP持续登录,则只在控制台进行告警,直到该IP地址登录满6次被自动记录为常用登录地。

  • 如果您使用的是云安全中心高级版、企业版或旗舰版,您可以针对服务器设置常用登录地、常用登录IP、常用登录时间、常用登录账号,对上述常用登录地、常用登录IP、常用登录时间、常用登录账号之外的登录行为均提供告警。您自定义的登录规则生效优先级高于异地登录判断。

云安全中心支持哪些异常登录告警?

支持异常登录告警的检测项如下:

  • 恶意IP登录(服务器、FTP应用、MySQL、SQL Server等)

  • 后门账户登录

  • 弱口令账户登录

  • 疑似对外发起登录扫描活动

  • 异常位置登录

  • 异常账户登录

  • ECS被暴力破解成功(多个无效用户、RDP、SSH)

  • ECS登录后执行异常指令序列(SSH)

  • ECS非常用的时间、登录地、账号和IP的登录

以上告警检测项的检测原理的详细内容,请参见安全告警检测项说明

正常登录服务器,云安全中心提示异常登录,如何避免这种情况?

通过使用云安全中心控制台安全告警处理页面的安全告警设置功能,设置常用登录地、登录IP、时间及账号,支持对于例外的登录行为进行告警。支持手动添加和自动更新常用登录地,对指定资产的异地登录行为进行告警。

误操作触发了ECS被暴力破解登录告警,我该怎么办?

由于服务器密码复杂度较高,可能会存在多次输错ECS服务器登录密码后,才成功登录服务器的情况。该行为会被云安全中心的防暴力破解模型判定为ECS密码被暴力破解,并产生ECS被暴力破解登录告警。您在确认是误操作触发该告警后,可以忽略该告警。忽略告警的具体操作,请参见查看和处理安全告警

设置了常用IP、时间及账号,正常登录时提示异常登录怎么办?

这种情况应先判断告警类型是否为非合法IP登录、在非常用地登录还是非常用账号登录。登录IP、登录地、账号、时间都是影响登录告警的因素,不存在优先级关系,只要其中一个因素存在异常,都会触发告警。

产生异常登录告警时,登录是成功了还是被拦截了?

产生异常登录告警表示已经登录成功,但是这个登录行为被云安全中心判定为可疑行为,所以产生该可疑行为的告警事件。

异常登录告警已确定为黑客登录,我该怎么办?

登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)在左侧导航栏,选择检测响应 > 安全告警处理安全告警处理页面,定位到该告警并单击操作列的处理,选择阻断12小时并单击立即处理,即可立马阻断该黑客的入侵。建议您立即修改密码,并检查服务器是否存在其他未知账号和其他未知公钥,防止SSH免密登录。

出现ECS登录后执行异常指令序列(SSH)告警时,该操作是否已经被执行?

该命令已经被执行,请您及时更新服务器登录密码,并检查服务器是否有其他异常行为,例如启动了未知进程。

发生异常登录告警时,对应服务器应该查看什么日志?

您可以查看服务器/var/log/secure目录下的信息。例如执行命令grep 10.80.22.22 /var/log/secure

如何查看服务器被暴力破解的次数或拦截情况?

登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)在左侧导航栏,选择检测响应 > 攻击分析攻击分析页面,可以查看SSH暴力破解拦截成功的信息。

如何预防服务器被暴力破解?

您可以通过设置常用登录IP或采取证书登录方式,避免该情况发生。设置常用登录IP的方法,请参见安全告警设置

误操作导致防暴力破解生效怎么办?

如果在设置了防暴力破解规则后,由于登录失败次数太多,导致防暴力破解规则生效,无法登录服务器,您可以参考以下方法解除禁止登录:

登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)在左侧导航栏,选择检测响应 > 安全告警处理安全告警处理页面,单击生效IP拦截策略/全部策略下的数字,在IP规则策略库面板,找到对应的拦截规则,将该规则的策略状态置为已禁用禁用拦截规则

防暴力破解支持防护Web应用或网站吗?

不支持。

防暴力破解支持对使用RDP和SSH协议登录的服务器进行防护,不支持防护Web应用或网站。

被暴力破解成功之后该怎么处理?

如果您的服务器密码被暴力破解成功,攻击者很有可能已经入侵并登录您的服务器并留下恶意程序。您可以登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)在左侧导航栏,选择检测响应 > 安全告警处理安全告警处理页面查看是否存在暴力破解成功相关的告警。

如果您的资产中存在ECS被暴力破解成功类似告警,则表示您的相应服务器已被暴力破解成功,建议您尽快参考以下步骤加固您的服务器安全:

  • 处理被暴力破解成功相关告警

    安全告警处理页面,单击告警操作列的处理,在告警处理页面选择阻断后,单击立即处理。云安全中心将为您生成安全组防御规则,拦截恶意IP的访问。更多信息,请参见查看和处理安全告警

  • 修改服务器用户密码

    请尽快更换您服务器被暴力破解成功的用户密码,建议您使用复杂密码。

  • 使用云安全中心基线检查功能进行风险检测

    使用云安全中心的基线检查功能全面检测您的服务器安全,并根据建议处理风险项。

    说明

    高级版企业版旗舰版支持基线配置检查功能。

为什么修改弱口令后仍然出现密码暴力破解告警?

修改后的弱口令在系统中生效的时间为T+1,在修改未生效的这段时间内,云安全中心仍会上报密码暴力破解告警。例如,您在2023年01月15日10:00时修改了登录密码,基线检测模型会在当天24:00左右采集修改后的登录密码信息并更新弱口令数据库,异常登录检测模型在2023年01月15日24:00点之前在弱口令数据库中加载的是修改前的密码,所以在这个时间段密码暴力破解告警仍会存在。

您在确认已修改弱口令且基线检查未扫描出弱口令风险时,可以忽略该告警。

如果您的服务器登录密码已经被暴力破解,建议您及时对服务器进行安全加固。详细内容,请参见被暴力破解成功之后该怎么处理?

为什么安全组或者防火墙规则已经屏蔽了RDP服务的3389端口,但RDP还是有被暴力破解的记录?

由于Windows登录审核机制的原因, $IPC 、RDP、SAMBA服务的登录审核过程被记录在同一个日志里面,且未区分具体登录方式。所以,在已经屏蔽了RDP服务端口还出现RDP被暴力破解记录时,您需要检查是否还开启了其它两个服务。

检查方法是查看ECS是否有监听135、139、445等端口并且外网IP均可访问,并且查看Windows安全类日志是否在该时段有对应的登录记录。

ECS登录弱口令是指系统层面的RDP或者SSH扫描吗?

弱口令包含两种,一种是RDP和SSH的弱口令,一种是类似CMS管理员后台登录的弱口令。

如何处理SSH、RDP远程登录被拦截?

如果您发现当前IP无法远程连接(SSH、RDP)云上服务器,您可以在安全管控管理控制台将登录IP加入到服务器白名单,防止其访问服务器时被拦截。

参照以下步骤,将登录IP地址添加到服务器白名单:

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择系统配置 > 功能设置

  3. 设置页签的其它配置子页签,单击安全管控区域的配置,跳转至安全管控控制台。

    说明

    您也可以将鼠标移至阿里云管理控制台右上角的账户图标,在悬浮菜单中单击安全管控进入安全管控管理控制台。

  4. 在左侧导航栏,选择白名单管理 > IP白名单

  5. IP白名单页面,单击添加

  6. 添加对话框,输入源IP(需要加入IP白名单的IP地址),并配置允许该IP地址登录的服务器。从左侧服务器框中选择目标服务器(可多选),并单击右向箭头,将其添加到右侧白名单配置生效的已选服务器框中。

  7. 配置完成后,单击确定

攻击分析页面的数据来源是哪些产品?

攻击分析页面展示的数据,是云安全中心自动为您识别并拦截基础攻击事件后统计的攻击数据。这些攻击数据是云安全中心防护的云资产的相关数据。您可以在资产中心页面查看哪些资产是受到云安全中心防护的。