风险管理常见问题
本文汇总了使用漏洞管理和基线检查功能时的常见问题。
Linux软件漏洞问题
漏洞修复问题
漏洞扫描问题
基线检查问题
攻击分析
如何手动检测服务器上的Linux软件漏洞?
如果您需要通过命令行的方式在您服务器上手动检测系统软件漏洞,您可以参见如何手动检测Linux软件漏洞。
建议您使用云安全中心的Linux软件漏洞功能定期自动检测服务器上的软件漏洞,以便及时发现漏洞。
如何获取当前软件版本及漏洞信息?
云安全中心通过匹配您服务器上的系统软件版本和存在漏洞(CVE漏洞)的软件版本,判断您的服务器是否存在软件漏洞。因此,您可以通过以下方式查看当前软件版本的漏洞信息:
在云安全中心中查看当前软件版本及漏洞信息
您可以在云安全中心控制台 页面,查看云安全中心在您的服务器上检测到的系统软件版本及漏洞信息。系统软件漏洞各项参数的具体信息,请参见Linux软件漏洞各参数说明。
在您的服务器上查看当前软件版本信息
您也可以在服务器上直接查看当前软件版本信息:
CentOS系统
执行
rpm -qa | grep xxx
命令查看软件版本信息。其中,xxx
为软件包名。例如,执行rpm -qa | grep bind-libs
命令查看服务器上的bind-libs
软件版本信息。Ubuntu和Debian系统
执行
dpkg-query -W -f '${Package} -- ${Source}\n' | grep xxx
命令查看软件版本信息。其中,xxx
为软件包名。例如,执行dpkg-query -W | grep bind-libs
命令查看服务器上的bind-libs
软件版本信息。说明如果显示无法找到该软件包,您可以执行
dpkg-query -W
查看服务器上安装的所有软件列表。
通过以上命令获取您服务器上的软件版本信息后,您可以将得到的软件版本信息与云安全中心系统软件漏洞中检测到的相关漏洞的说明信息进行对比。漏洞说明参数中的软件和命中分别指当前软件版本和漏洞的匹配命中规则。
说明如果升级后旧版本软件包还有残留信息,这些旧版本信息可能仍会被云安全中心检测收集,并作为漏洞上报。如果确认是由于这种情况触发的漏洞告警,建议您选择忽略该漏洞。您也可以执行
yum remove
或者apt-get remove
命令删除旧版本的软件包。删除前,请务必确认所有业务和应用都不再使用该旧版本软件。
如何将Ubuntu 14.04系统的3.1*内核升级至4.4内核?
系统内核升级有一定风险,强烈建议您参考服务器软件漏洞修复建议中的方法进行升级。
参考以下方法将Ubuntu 14.04系统的3.1*内核升级至4.4内核。
执行
uname -av
命令,确认当前服务器的系统内核版本是否为3.1*。执行以下命令,查看是否已有最新的内核Kernel更新包。
apt list | grep linux-image-4.4.0-94-generic apt list | grep linux-image-extra-4.4.0-94-generic
如果没有相关更新,您可执行
apt-get update
命令获取到最新的更新包。执行以下命令,进行内核升级。
apt-get update && apt-get install linux-image-4.4.0-94-generic apt-get update && apt-get install linux-image-extra-4.4.0-94-generic
更新包安装完成后,重启服务器完成内核加载。
服务器重启后,执行以下命令验证内核升级是否成功。
执行
uname -av
命令查看当前调用内核。执行
dpkg -l | grep linux-image
命令查看当前内核包情况。
如何验证Ubuntu内核补丁漏洞修复?
如果您修改过GRUB引导菜单的内核选择顺序,在Ubuntu内核的服务器中执行完漏洞一键修复安装新内核后,重启系统时不会启用最新内核。您需要手动配置环境变量,才能重启最新内核。
在云安全中心控制台对Ubuntu内核漏洞执行一键修复后,需要重启Linux系统,漏洞修复才能成功。重启系统时,如果您的内核引导GRUB菜单曾做过修改,系统将无法自动为最新的内核建立引导菜单,即使重启后,云安全中心控制台仍然会提示修复成功待重启。这种情况下,会导致无法验证漏洞是否修复成功。
如果您需要使用新内核默认附带的设置,并丢弃原本的GRUB菜单配置,可在执行漏洞修复命令前在Linux终端设置以下环境变量,使安装系统自动选择默认设置。
export DEBIAN_FRONTEND=noninteractive
如果您无需使用新内核的默认设置,可手动修改GRUB引导顺序,相关操作参见ECS Linux CentOS 修改内核引导顺序。
漏洞修复完成后我是否还需要重启系统?
Windows服务器:
在云安全中心控制台完成Windows系统漏洞的修复后,您还需要对Windows服务器系统进行重启,漏洞修复才能生效。
所有Windows漏洞修复完成后,都需要执行重启的操作。
Linux服务器:
云安全中心控制台完成Linux内核漏洞修复后,还需要对服务器系统进行重启,漏洞修复才能生效。满足以下任一条件您可以判定漏洞修复后需要重启系统:
您的服务器是Linux系统服务器,并且修复的漏洞为Linux内核漏洞。
在云安全中心控制台 的Linux软件漏洞页签,该漏洞的漏洞公告信息中有需要重启的标签。
内核漏洞升级修复后,云安全中心仍然提示存在漏洞如何处理?
由于内核升级比较特殊,可能会存在旧版本内核信息残留的问题。如果确认该漏洞告警是由于旧版本信息残留造成的,您可以选择忽略该漏洞告警,或者在服务器中手动删除旧版本的残留信息。可参考以下步骤进行处理:
确认内核升级完成后,执行
uname -av
命令和cat /proc/version
命令查看当前内核版本,确保当前使用的内核版本已符合漏洞说明命中条件中的要求。执行
cat /etc/grub.conf
命令查看配置文件,确认当前已经调用最新的内核版本。由于Linux系统软件漏洞检测功能主要是通过针对版本进行匹配检测,如果系统中依然存在旧版本的内核rpm安装包,仍将会被云安全中心检测到并进行漏洞告警。您需要确认当前系统中已经没有旧版本rpm安装包残留。如果有,您可以在服务器中对旧版本安装包进行清理。
说明卸载旧版本安装包前,请务必确认当前系统已经使用新内核。强烈建议您在卸载旧版本内核安装包前,为您的系统创建快照,以便卸载旧版本发生异常情况时对系统进行恢复。
如果由于某些原因不想卸载老版本内核,在您确认系统已经调用新内核后,可以参考如下步骤忽略该系统漏洞告警提醒。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在Linux软件漏洞页签定位到该漏洞,单击漏洞名称进入漏洞详情页面。
在操作列下单击
图标下的忽略。
云安全中心控制台中某些漏洞提示无更新如何处理?
您可以根据以下情况采取不同的处理方式:
您在对某些漏洞进行更新修复时,可能收到以下提示:
Package xxx already installed and latest version Nothing to do
或者
No Packages marked for Update
这种情况是由于该软件的官网更新源暂时还未提供更新,请您等待官方更新源的更新。
目前已知未更新的软件包包括:
Gnutls
Libnl
MariaDB
您已经更新到了最新的软件包,但仍然无法满足云安全中心管理控制台中报告的软件版本条件。
请检查您的操作系统版本是否在官方的支持范围中。例如,截止到2017年09月01日,官方已经停止对CentOS 6.2~6.6、7.1等版本的支持。这种情况下,建议您在云安全中心管理控制台中忽略该漏洞(该漏洞对您服务器的风险可能依然存在),或者升级您的服务器操作系统。
Linux软件漏洞各参数说明
您可以在云安全中心控制台 的Linux软件漏洞页签下,查看云安全中心在您的资产中检测到的Linux软件漏洞。您可以单击需要查看的漏洞名称,进入该漏洞的详情页面。以下内容介绍详情页面展示的Linux软件漏洞相关参数。
漏洞公告
Linux软件漏洞公告的名称,一般以CVE、RHSA或USN开头。例如,RHSA-2016:2972: vim security update。
影响分
漏洞影响分(即CVSS分值)是依据行业公开标准,通用漏洞评分系统(Common Vulnerability Scoring System),对该漏洞判定的一个分值。主要用于评测漏洞的严重程度,可以帮助您确定漏洞修复的紧急度和重要度。
漏洞编号
漏洞编号是漏洞对应的CVE漏洞号(即CVEID),例如CVE-2016-XXXX。Common Vulnerabilities & Exposures(CVE)是已被广泛认同的信息安全漏洞或者已经暴露的弱点的公共名称。您可以快速地在任何其他CVE兼容的数据库中找到相应漏洞修复的信息,帮助您解决安全问题。
漏洞紧急程度
漏洞紧急程度即漏洞修复的优先级,分为高、中、低3个等级。
说明上图示例中的漏洞为中等级漏洞,此漏洞可以延后修复。
高等级的漏洞包括:
可直接获取服务器系统权限的漏洞。
可直接获取重要的敏感信息导致数据泄漏的漏洞。
可直接导致敏感信息越权访问的漏洞。
可造成大范围影响的其他漏洞。
中等级的漏洞包括:
可间接获取服务器和应用系统的普通权限的漏洞。
可导致任意文件读取、下载、写入、或删除的漏洞。
可导致敏感信息泄漏的漏洞。
可直接导致业务中断、或远程拒绝服务的漏洞。
低等级的漏洞包括:
需要进行交互才能影响用户的漏洞。
可导致普通越权操作的漏洞。
通过本地修改配置或获取信息之后,可进一步利用的漏洞。
可导致本地拒绝服务的漏洞。
其他危害较低的漏洞。
影响说明
漏洞的影响说明提供了该漏洞当前软件版本、漏洞程序命中原因和漏洞程序所在路径信息。
在某个漏洞的详情页面,单击具体漏洞操作列的详情,可查看当前漏洞的影响说明等信息。
影响说明包含以下信息。
软件:云安全中心检测到服务器中出现漏洞的软件的版本信息。上图示例中,检测到服务器上的mariadb-libs当前版本是5.5.52-1.el7。
命中:该软件漏洞的命中原因,一般是由于当前软件版本不满足或者小于某个版本(以小于某个版本为主),导致存在该漏洞。上图示例中,该软件漏洞命中的原因为mariadb-libs软件版本低于5.5.56-2.el7。
路径:云安全中心检查到的漏洞程序在您服务器上的路径。上图示例中,mariadb-libs所在路径为/etc/ld.so.conf.d/mariadb-x86_64.con。
操作
您可对检测到的Linux漏洞执行以下操作:
修复:修复该漏洞。
验证:验证漏洞是否已修复成功。
忽略:忽略该漏洞。
漏洞如何修复?
云安全中心支持在控制台修复Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞,应用漏洞和应急漏洞只支持检测,不支持修复。
您可以在云安全中心控制台 页面,定位到需要修复的Linux软件漏洞、Windows系统漏洞或Web-CMS漏洞,单击其操作列的修复,Linux软件漏洞和Windows系统漏洞您可以选择创建快照进行修复。修复完成后,需要重启的漏洞会显示待重启,请您根据提示重启服务器后再验证漏洞。
对于应用漏洞和应急漏洞您需要根据漏洞详情页面的修复建议,手动修复漏洞。修复完成后,在漏洞修复页面,验证该漏洞。
批量进行漏洞修复时,漏洞修复按照什么顺序执行?
Linux软件漏洞和Web-CMS漏洞按照控制台中漏洞列表的顺序执行批量修复。修复部分Windows系统漏洞时会需要先安装前置补丁,批量修复Windows系统漏洞时优先修复此类漏洞,其余漏洞按照控制台中漏洞列表顺序执行修复。
修复漏洞时创建快照失败是什么原因?我该怎么办?
修复漏洞时创建快照失败可能是以下原因造成的:
您当前执行修复操作的账号是RAM账号:如果您当前使用的是RAM账号,并且该账号不具备创建快照的权限,控制台会提示您创建快照失败。建议您使用阿里云账号进行操作。RAM账号更多信息,请参见RAM用户概览。
该服务器为非阿里云服务器:非阿里云服务器不支持创建快照修复漏洞。
漏洞已经修复了,但云安全中仍提示存在漏洞怎么办?
出现该情况是因为部分漏洞(即Linux内核漏洞)修复后需要重启服务器。请在漏洞详情页面,单击重启。重启完成后,单击验证,显示修复成功则代表该漏洞已修复成功。
我对漏洞进行修复,但是提示“权限获取失败,请检查权限后重试”怎么办?
出现该情况是因为当前登录的账户对所需操作的文件没有权限。建议您单击漏洞名称,查看漏洞详情,查看漏洞需要修复的文件其所属用户是否为root。如果不是root,请前往您的服务器中将该文件的所属用户改为root。文件所属用户修改完成后,再在云安全中心控制台执行修复操作。
我的服务器Agent客户端已离线或关闭,为什么漏洞还在控制台中显示?
服务器Agent客户端离线或关闭时,已检测出的漏洞记录会一直保留在云安全中心管理控制台上。
客户端离线或关闭,系统漏洞的告警3天自动失效,应用漏洞的告警30天自动失效,应急漏洞的告警90天自动失效。漏洞失效后,您无法对漏洞执行任何操作,包括修复漏洞或清除漏洞记录。
除非您的云安全中心服务过期后7天内仍未续费,您的云安全中心数据才会被释放并彻底删除。此时,您在云安全中心管理控制台上看不到任何数据。
如何清理Agent目录中的Windows漏洞修复补丁包?
执行一键修复Windows系统漏洞后,由云安全中心Agent负责安装包的自动下载、安装和清理,无需您进行手动操作。漏洞修复完成超过3天后,如果安装包未被及时清理掉,您可参考以下步骤手动清理漏洞补丁包:
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
如果您已开启客户端自保护,在
子页签的客户端自保护模式区域,关闭客户端自保护开关。如果您未开启过客户端自保护,请跳过当前步骤,直接执行下一步骤。
客户端自保护会对您服务器Agent目录下的所有进程文件提供默认保护。客户端自保护开启情况后,您在Windows服务器上对Agent目录下的任何进程文件进行删除或下载操作都会被云安全中心拒绝。有关客户端自保护的详细内容,请参见客户端自保护。
使用管理员权限登录您的Windows服务器。
找到漏洞补丁包并手动删除。
补丁包所在的路径为C:\Program Files (x86)\Alibaba\Aegis\globalcfg\hotfix。
云安全中心是否支持Elasticsearch漏洞检测?
支持。
您可以在云安全中心控制台 页面的应用漏洞,查看是否检测出Elasticsearch漏洞。
应用漏洞为企业版和旗舰版功能,免费版、防病毒版和高级版不支持。免费版、防病毒版和高级版用户需先升级到企业版,才可使用应用漏洞功能。
如何处理连接阿里云官方Yum源超时?
如果连接阿里云官方Yum源超时,系统会出现类似如下的报错信息:
[Errno 12] Timeout on http://mirrors.aliyun.com/centos/6/os/x86_64/repodata/repomd.xml: (28, 'connect() timed out!')
这种情况下,请检查您服务器的DNS解析是否正常,并稍作等待。如果一段时间后仍无法解决,请通过智能在线联系技术支持人员。
修复漏洞时,提示token校验失败,应该如何处理?
当您在云安全中心控制台执行某项操作,收到token校验失效的提示时,您可以刷新当前页面,重新登录云安全中心管理控制台。
您可按Ctrl+F5,强制刷新当前浏览器页面。
云安全中心无法验证系统漏洞修复时,应该如何处理?
当云安全中心无法验证系统漏洞修复时,请按照以下步骤进行排查:
查看漏洞的版本信息。
确认系统是否使用阿里云的官方源。
确认系统升级后是否执行过验证操作。
说明升级内核需重启才能生效。
确认选择修复的版本不低于云安全中心建议的版本。
如果以上方案未能解决问题,建议您升级操作系统。
需要重启才能验证的漏洞,云安全中心能自动验证吗?
不会。
修复成功但需要重启才能验证的漏洞其状态为修复成功待重启。云安全中心会每天执行漏洞扫描,该类漏洞修复后,云安全中心将检测不到该类漏洞。从第一次检测不到该类漏洞起,控制台会将该类漏洞的信息保存三天(确保非网络或其他原因没有检测到该漏洞),三天后控制台会清除该类漏洞信息。
为什么漏洞修复后手动验证没有反应?
您在服务器上手动执行云安全中心生成的系统软件漏洞修复命令,将相关的系统软件成功升级到新的版本,并且该版本已符合云安全中心控制台漏洞修复页面的描述要求。然而,当您在云安全中心管理控制台的漏洞详情页面,选择相应的漏洞,单击验证,该漏洞的状态没有正常更新为已修复。
您可以使用以下方法进行排查,解决该问题:
检查漏洞扫描等级
执行如下步骤,检查漏洞扫描等级。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在漏洞管理页面右上角,单击漏洞管理设置。
在漏洞管理设置面板,查看漏洞扫描等级选中的等级。
如果对应的扫描等级没有选中,则相应等级的漏洞数据不会自动更新。您可以根据需要选择对应的扫描等级。
云安全中心Agent版本过低
如果您服务器上的云安全中心Agent版本过低,则可能不支持漏洞扫描功能。如果您的云安全中心Agent没有正常自动更新,建议您手动安装最新版云安全中心Agent。更多信息,请参见安装Agent。
云安全中心Agent离线
如果您服务器上的云安全中心Agent显示为离线,您将无法通过漏洞管理的验证功能对您的服务器进行验证。建议您排查Agent离线原因,确保您服务器上的云安全中心Agent在线。更多信息,请参见Agent离线排查。
为什么进行漏洞回滚操作会失败?
当通过云安全中心
确认您的服务器的云安全中心Agent是否处于在线状态。如果您的服务器显示离线,请排查Agent离线原因。更多信息,请参见Agent离线排查。
确认您服务器上该漏洞的相关文件是否已被手工修改或者删除。
说明如果在漏洞修复后相关文件已被手动修改或者删除,云安全中心为了防止误改动您的文件,不会对该漏洞的相关文件进行回滚。
我有台服务器在资产中心无法开启漏洞检测怎么办?
您可以在
应急漏洞检测会不会对我的业务系统产生影响?
应急漏洞检测是通过初步检测漏洞原理确认是否存在漏洞。云安全中心会发送1~2个TCP网络请求报文至您的所有ECS或SLB等IP地址,但不会执行任何实际上的黑客行为。云安全中心应急漏洞检测功能上线前都经过了大规模百万IP数量级的测试,具有很高的稳定性和可靠性。但是测试无法完全覆盖未知风险,可能会存在未知风险。例如会存在由于某些网站业务逻辑脆弱(1~2个TCP请求会导致服务器宕机)对业务系统造成风险。
为什么Fastjson类的应急漏洞多次扫描时每次检测结果可能不一致?
Fastjson漏洞的检测依赖JAR包运行态是否加载,Webserver对于JAR包的加载分为动态加载和静态加载。动态加载模式下,Fastjson漏洞只有在JAR包运行时才能被检测出来,所以每个时段检测结果会存在差异。建议您针对Fastjson漏洞进行多次检测,提升检测结果的准确度。
漏洞扫描周期说明
云安全中心支持漏洞扫描和修复,覆盖的漏洞类型包括:Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应急漏洞、应用漏洞。以下表格展示了各类型漏洞默认的扫描周期。
漏洞类型 | 免费版 | 防病毒版 | 高级版 | 企业版 | 旗舰版 |
Linux软件漏洞 | 每隔一天自动扫描一次 | 每天自动扫描一次 | 每天自动扫描一次 | 每天自动扫描一次 | 每天自动扫描一次 |
Windows系统漏洞 | 每隔一天自动扫描一次 | 每天自动扫描一次 | 每天自动扫描一次 | 每天自动扫描一次 | 每天自动扫描一次 |
Web-CMS漏洞 | 每隔一天自动扫描一次 | 每天自动扫描一次 | 每天自动扫描一次 | 每天自动扫描一次 | 每天自动扫描一次 |
应用漏洞 | 不支持扫描 | 不支持扫描 | 不支持扫描 | 每周自动扫描一次(支持修改自动扫描周期) | 每周自动扫描一次(支持修改自动扫描周期) |
应急漏洞 | 不扫描 | 不扫描 | 不扫描(支持设置扫描周期进行周期性扫描) | 不扫描(支持设置扫描周期进行周期性扫描) | 不扫描(支持设置扫描周期进行周期性扫描) |
如果需要开启或关闭某种类型漏洞的扫描能力,或修改应用漏洞、应急漏洞的扫描周期,可使用漏洞管理设置功能。更多信息,请参见扫描漏洞。如果您需要立即扫描您的资产中是否存在漏洞,可使用云安全中心提供的一键扫描功能。更多信息,请参见扫描漏洞。
漏洞扫描完成后,您可在云安全中心控制台 页面查看漏洞检测的结果并进行相应处理。
漏洞扫描会扫描系统层面和应用层面的漏洞吗?
是的,漏洞扫描会扫描系统漏洞(服务器上系统层级漏洞)和Web漏洞(应用层漏洞)。
基线检查验证失败如何处理?
基线和漏洞有什么区别?
基线一般指配置和管理系统的详细描述,或者说是最低的安全要求,包括服务和应用程序设置、操作系统组件的配置、权限分配、管理规则等。云安全中心的基线检查功能支持检测操作系统和服务(数据库、服务器软件、容器等)的弱口令、账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置,并提供检测结果,针对存在的风险配置给出加固建议。具体的检测项,请参见基线检查内容。
漏洞是指在操作系统实现或安全策略上存在的缺陷,例如操作系统软件或应用软件在逻辑设计上存在的缺陷或在编写时产生的错误。攻击者可以对这类缺陷或错误进行利用,从而能够在未获得授权的情况下访问和窃取您的系统数据或破坏系统。系统漏洞需要系统管理员及时处理并修复,否则将带来严重的安全隐患。
基线检查功能为云安全中心的增值服务,仅高级版、企业版和旗舰版用户可使用该服务。免费版、防病毒版用户都需先升级到高级版或企业版才可使用基线检查功能。有关升级的更多信息,请参见升级与降配。
高危敏感信息泄露处置方案
企业或个人用户在使用GitHub、码云等中国及中国以外地域代码托管平台时,其托管的源代码中已被发现或可能存在以下敏感信息:阿里云账号AccessKey、RDS账号密码、ECS自建数据库或邮箱的账号密码等。上述账号密码信息在被他人获取后,可以被直接用来访问用户的阿里云资源和数据资源,导致企业或个人敏感信息泄露。
如果企业使用ECS自行搭建部署了数据库服务,开发人员可能在数据库连接配置文件里面写入数据库连接密码、邮箱密码等高危敏感信息。如果黑客通过GitHub获取泄露的账号密码,并成功通过认证,则可以轻易获取企业数据,给企业带来极大的安全风险。
解决方案:
(推荐)使用私有的Github代码仓库来管理代码,或搭建企业内部的代码托管系统,防止源代码泄露和敏感信息泄露。
如果发现阿里云AccessKey等高危敏感信息泄露,应立即登录阿里云RAM控制台,禁用并重置AccessKey(或直接删除);同时尽快删除GitHub托管代码。
定期前往日志服务控制台,搜索对应的服务器访问日志,检查数据是否泄漏。例如,检索日志源Web访问日志,选择URI字段,检查包含有AccessKey应用文件的文件路径等。
建立企业内部的安全运维规范和开发红线,培训内部IT人员,提高其安全意识,防止信息泄露。
AccessKey的更多信息,请参见阿里云AccessKey。