告警类型 | 具体检测项 | 检测原理说明 |
持久化后门 | 可疑自启动项 | 检测模型发现您服务器上的某些自启动项可疑,可能是恶意软件或者黑客在入侵后进行的持久化痕迹。 |
疑似后门 | 检测模型发现您的服务器上存在wmi或bitsadmin后门,可能是攻击者在入侵后用来维持对您的服务器权限。 |
异常代码驻留内存 | 检测模型发现您的服务器上某进程的内存空间中疑似存在恶意指令,该进程可能为攻击者在入侵后遗留的恶意软件,或者是向正常的进程注入了恶意的代码。 |
异常进程 | 检测模型发现您的服务器当前运行中的程序中存在异常进程,可能是恶意程序或利用正常程序加载了恶意代码。 |
异常注册表项 | 检测模型发现您服务器上的某个注册表配置项可疑,恶意软件常常会修改某些关键注册表配置来持久化运行或干扰正常的安全防护。 |
异常自启动项 | 检测模型发现您的服务器上存在异常的自启动项,可能是恶意软件或攻击者通过添加启动项来达到持久化的目的。 |
CobaltStrike远控木马 | 检测模型发现您服务器上某个进程内存空间内存在CobaltStrike远控木马的恶意代码,可能该进程即为恶意程序或正常程序被注入了恶意指令。 |
恶意脚本 | 恶意脚本代码执行 | 检测模型发现您的服务器上正在执行恶意的Bash、PowerShell、Python等脚本代码。 |
发现恶意脚本文件 | 检测模型发现您的服务器上存在恶意脚本文件,该文件极有可能是攻击者成功入侵服务器后植入的,建议您根据恶意脚本的标签检查文件内容的合法性并进行处理。 |
恶意软件 | 恶意程序 | 检测模型发现您的服务器上运行了恶意程序,恶意程序一般是具备多种恶意行为特征的程序,或者具备骚扰、破坏行为的第三方程序。 |
访问恶意IP | 检测模型发现您服务器上的进程正在尝试访问一个可疑的恶意IP,这个IP可能是黑客的中控IP,矿池IP等具有高风险的IP,发起连接行为的进程可能是黑客植入的恶意文件。 |
感染型病毒 | 检测模型发现您的服务器上运行了感染型病毒,感染型病毒是一类高级恶意程序,由病毒本体将恶意代码写入正常程序文件执行,因此往往有大量原本正常程序被感染后作为宿体被检出。 |
黑客工具 | 检测模型发现您的服务器上存在黑客工具,黑客工具是攻击者在入侵过程中用于权限提升、窃取敏感数据的工具,或用于卸载安全软件的程序,或入侵后植入系统的后门程序。 |
后门程序 | 检测模型发现您的服务器上运行了后门程序,后门程序是植入到系统中,用于给黑客对服务器做持续入侵的持久化程序。 |
可疑程序 | 检测模型发现您的服务器上运行了可疑程序,可疑程序一般是具有一定恶意代码特征或高可疑度行为特征的、暂未明确分类的程序,需要用户结合信息判断。 |
勒索病毒 | 检测模型发现您的服务器上运行了勒索病毒,勒索病毒是一类恶性程序,会对服务器上所有关键数据文件进行加密锁定以勒索赎金。 |
漏洞利用程序 | 检测模型发现您的服务器上运行了漏洞利用程序,漏洞利用程序用于攻击或尝试攻击操作系统、应用程序的已知漏洞,用于实现提权、逃逸、任意代码执行等目的。 |
木马程序 | 检测模型发现您的服务器上存在木马程序,木马程序是专门用于侵入用户服务器的程序,一般通过伪装植入系统后会下载、释放另外的恶意程序。 |
蠕虫病毒 | 检测模型发现您的服务器上运行了蠕虫病毒,蠕虫病毒是一类用于从已攻陷服务器,向其它服务器做攻击横向移动的程序,往往包括漏洞利用、密码爆破等行为。 |
挖矿程序 | 检测模型发现您的服务器上运行了挖矿程序,挖矿程序是一类侵占服务器计算资源,进行虚拟货币挖掘的程序,服务器往往可见CPU占用飙高,以及其它相关的恶意程序。 |
自变异木马 | 检测模型发现您的服务器上运行了自变异,自变异木马是具备自变异功能的木马程序,它会改变自身hash或者将自身大量复制到不同的路径下,并后台运行起来,以躲避清理。 |
DDoS木马 | 检测模型发现您的服务器上运行了DDoS木马,DDoS木马是用于从被攻陷服务器上接受指令,对黑客指定目标发起DDoS攻击的恶意程序。 |
Hashdump攻击异常事件 | 检测模型发现您的服务器上有wce、mimikatz恶意软件运行,该工具可窃取系统账号HASH,导致您的账号密码泄漏。 |
进程异常行为 | 创建异常Windows计划任务 | 检测模型发现您的服务器上创建了异常的Windows计划任务,可能是恶意软件或攻击者在入侵过程中为维持权限而进行的行为。 |
调用风险工具 | 检测模型发现您的服务器异常调用了风险工具,风险工具被攻击者用于代理、隧道、扫描工具等进一步入侵服务器的场景。 |
调用wmic启动可疑进程 | 检测模型发现您服务器尝试使用wmic创建并执行程序,攻击者在入侵您服务器后,会通过创建wmic任务的方式来维持权限。 |
访问恶意下载源 | 检测模型发现您的服务器正在尝试访问一个可疑的恶意下载源,可能是黑客通过弱口令或命令执行漏洞,从远程服务器下载恶意文件,危害服务器安全。 |
高危应用执行异常指令 | 检测模型发现您服务器中的高危应用(如:Web服务、数据库服务、脚本、定时任务、自启动项等)执行了可疑命令,该服务可能已被攻击者攻破并通过其执行恶意命令。 |
高危应用植入可疑文件 | 检测模型发现您服务器上的敏感服务(如Web应用等)创建了可疑的可执行文件或脚本,可能是攻击者通过漏洞攻击服务后向系统投递病毒或木马的行为。 |
可疑的脚本操作 | 检测模型发现您的服务器上执行的某些与脚本相关的命令高度可疑,很有可能与恶意软件、黑客入侵有关。 |
可疑的进程路径 | 检测模型发现您服务器上某个进程从一个不寻常的路径启动,常规软件通常不会在这种目录中,该进程有可能是病毒、木马、黑客入侵过程中放置的工具。 |
可疑的进程文件名 | 检测模型发现您服务器上某个进程的文件名具有迷惑性后缀或是有模仿系统文件名的嫌疑,有可能是病毒、木马、黑客入侵过程中放置的工具。 |
可疑端口监听异常进程 | 检测模型发现您的服务器出现异常的端口监听事件,攻击者在入侵服务器后,常常会借助nc等软件建立监听端口,以此建立隐蔽通信通道实现信息窃取等目的。 |
可疑命令 | 检测模型发现您的服务器执行了可疑的信息收集命令,或启动的进程调用关系存在异常,可能与木马病毒或黑客入侵有关。 |
可疑文件落盘执行 | 检测模型发现您的服务器上的某文件以一种可疑的方式被写入并执行,可能是攻击者从外部下载的恶意工具并执行。 |
可疑注册表配置项修改 | 检测模型发现您服务器上有进程尝试修改注册表配置,可能是攻击者在获取服务器权限后写入后门代码或修改敏感配置。 |
可疑CMD命令序列 | 检测模型发现您服务器上某进程执行了一系列可疑的命令,这些命令与攻击者入侵后通常会执行的命令序列非常相似,建议排查这些命令的父进程,可能为远控木马、存在漏洞的Web服务,或者是合法进程被注入了恶意代码。 |
可疑procdump进程镜像转储 | 检测模型发现您的服务器上正在进行procdump进程镜像转储,该行为可能导致敏感数据泄漏。 |
利用bitsadmin启动可疑进程 | 检测模型发现您的服务器尝试利用bitsadmin启动可疑进程,可能是攻击者利用该功能进行植入恶意程序以及执行恶意命令。 |
利用Windows系统文件加载恶意代码 | 检测模型发现您的服务器执行的命令极有可能是有攻击者在利用Windows系统文件加载恶意代码,以此绕过安全软件的检测。 |
启动项异常修改 | 检测模型发现您服务器上有进程正在尝试修改系统的自启动项,可能是木马病毒或攻击者通过这种方式来维持对您服务器的权限。 |
使用attrib.exe修改文件的只读隐藏属性 | 检测模型发现您服务器上有进程正在尝试使用attrib.exe修改文件的只读隐藏属性。 |
通过注册表添加自启动程序 | 检测模型发现您的服务器上有程序向注册表中添加自启动项,常见于流氓软件,含有后门的推广软件以及入侵持久化行为,也被正常软件用于开机自启动,请确认该进程路径是否为可信程序。 |
通过FTP从远程服务器下载可疑文件到磁盘 | 检测模型发现您服务器上有进程正在尝试通过FTP从远程服务器下载可疑文件。 |
通过RDP远程登录拷贝可疑文件到本地磁盘 | 检测模型发现有攻击者尝试通过RDP远程登录向您的服务器拷贝可疑文件,可能是因为您的服务器RDP登录密码被黑客窃取或爆破成功。 |
系统备份异常删除 | 检测模型发现您服务器上有进程尝试删除系统备份文件,可能为勒索病毒为达到勒索的目的,通过删除系统的备份来阻止恢复文件。 |
系统日志异常删除 | 检测模型发现您的服务器上有进程在删除系统日志,恶意软件或攻击者通常会通过清除系统日志来达到躲避检测的目的。 |
疑似黑客工具 | 检测模型发现您服务器上执行的某些命令与常用的黑客工具非常类似,可能是由攻击者在入侵过程中执行的命令。 |
疑似Windows提权操作 | 检测模型发现您的服务器上执行的某些命令非常可疑,极有可能是有攻击者在利用系统或应用漏洞获取更高的系统权限。 |
异常的注册表操作 | 检测模型发现您的服务器上执行的某些命令操作Windows注册表的方式高度可疑,可能与恶意软件或攻击者入侵后在修改相关的配置项。 |
异常调用数据库导出工具 | 检测模型通过对您服务器上进程的历史行为进行分析,发现可疑调用数据库导出工具行为,可能是攻击者在攻击成功后进行数据窃取的行为。 |
异常调用系统工具 | 检测模型发现您服务器上有进程正以一种可疑方式的调用系统工具,木马病毒或黑客常常会通过这种方式绕过常规的安全软件来下载恶意文件、加载恶意代码、执行加解密操作等其他恶意操作。 |
异常修改系统安全配置 | 检测模型发现您的服务器上有进程正在修改系统安全配置,可能为恶意软件或攻击者通过修改防火墙、杀毒软件配置来躲避检测。 |
执行恶意命令 | 检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。 |
CobaltStrike远控恶意行为 | 检测模型发现您的服务器中存在CobaltStrike控制端,并正在执行恶意操作命令。 |
FTP应用执行异常指令 | 检测模型发现您的FTP应用执行了异常命令,可能是攻击者通过FTP应用的弱口令,借助FTP执行BAT批处理脚本功能,执行异常命令。 |
Java应用执行异常指令 | 检测模型发现您的服务器上的Java进程启动了下载恶意程序、添加后门等高危行为,很可能是因为您使用了存在漏洞的Web框架或者中间件导致。 |
Lsass.exe系统安全授权程序执行异常进程 | 检测模型发现您的服务器上的lsass.exe进程启动了异常命令,lsass.exe进程是系统的一个安全授权服务进程,负责为登录用户进行身份鉴权和Token令牌生成,有很多系统漏洞常常针对该服务进行缓冲区溢出攻击,使得攻击者获取目标进程的完全控制权。 |
MySQL执行异常指令 | 检测模型发现您的MySQL服务执行了可疑的命令,可能是由于MySQL服务存在弱口令,或Web服务被SQL注入导致。 |
Postgresql应用执行异常指令 | 检测模型发现到您的Postgres服务执行了可疑的命令,可能是由于Postgres服务存在弱口令,或Web服务被SQL注入导致。 |
Python应用执行异常指令 | 检测模型发现您服务器上的Python应用执行异常命令,可能是由于您服务器上通过Python搭建的Web应用存在RCE漏洞并被利用成功。 |
regsvr32.exe执行异常指令 | 检测模型发现您的服务器上存在regsvr32.exe执行异常指令,可能是攻击者为了躲避系统杀软查杀,将恶意代码包装在windows ocx COM文件中,并通过regsvr32来加载到内存中运行。 |
rundll32.exe执行异常指令 | 检测模型发现您的服务器上存在rundll32.exe执行异常指令,可能是攻击者为了躲避系统杀软查杀,将恶意代码包装在Windows DLL文件中,并通过rundll32.exe来加载到内存中运行。 |
Sqlserver写可疑文件到磁盘中 | 检测模型发现您服务器上SQL Server应用正在尝试写入可疑文件到磁盘中,可能是因为攻击者破解了SQL Server的登录密码并执行了恶意的SQL。 |
Sqlserver应用执行异常指令 | 检测模型发现您的SQL Server服务执行了可疑的命令,可能是由于SQL Server服务存在弱口令,被攻击者借助SQL Server自身的命令执行组件执行了恶意命令。 |
Tomcat执行异常指令 | 检测模型发现您的Tomcat容器执行了异常命令,可能是攻击者通过Tomcat容器中Java应用存在的RCE漏洞或WebShell执行了恶意命令。 |
Windows Defender配置修改 | 检测模型发现您的服务器正在通过修改注册表的方式关闭Windows Defender安全软件的部分功能,可能是攻击者在入侵服务器后使用此方法来躲避检测与防御。 |
Windows-3389-RDP配置被修改 | 检测模型发现您服务器的RDP配置正在被修改,可能是攻击者在入侵服务器后,为维持权限进行的操作。 |
Windows创建计划任务 | 检测模型发现到您的服务器正在创建Windows计划任务,可能由于攻击者在入侵您服务器,为维持权限而植入后门。 |
Windows创建可疑Service服务启动项 | 检测模型发现您的服务器上游进程正在尝试创建可疑的Service服务启动项,该服务器可能已经被植入恶意程序,恶意程序在运行过程中会通过创建服务的方式来维持权限。 |
Windows登录凭证窃取 | 检测模型发现您的服务器上某些程序修改了注册表的WDigest项,该行为常见于黑客通过修改UseLogonCredential值使系统能够明文存储登录凭证,便于攻击者后续从内存中窃取登录凭证。 |
Windows调用mshta执行html内嵌脚本指令 | 检测模型发现您服务器上有进程在尝试调用mshta执行html内嵌脚本指令,黑客可通过这种方式向服务器植入恶意程序。 |
Windows可疑端口转发 | 检测模型发现您的服务器上执行的命令可能是在转发内网的敏感端口,攻击者在内网横向移动时常常采用这种方式。 |
Windows系统防火墙配置修改 | 检测模型发现有进程正在尝试修改您服务器上的Windows系统防火墙配置,请注意。 |
Windows新增自启动项 | 检测模型发现您的服务器存在异常的增加自启动项的行为,可能是攻击者在入侵服务器后,为维持权限,将恶意程序添加到启动项中 |
Windows账户异常操作 | 检测模型发现您服务器上的命令在操作系统账户时的上下文可疑,可能是恶意软件或者攻击者在进行用户账户的操作。 |
其他 | 云安全中心客户端异常离线 | 检测模型发现您服务器上的云安全中心客户端主进程AliYunDun在当天异常离线,该情况可能是因为网络不稳定导致的暂时现象,也可能是因为遭到恶意黑客入侵导致云安全中心客户端被强制卸载。请登录服务器确认云安全中心客户端进程是否处于运行状态,如果不在请及时启动。 |
网站后门 | 发现后门(WebShell)文件 | 检测模型在您的服务器上发现了一个可疑的WebShell文件,可能是攻击者成功入侵网站后为维持权限植入的后门文件。 |
异常登录 | 恶意IP登录 | 检测模型发现您的服务器被恶意IP登录成功,该IP在历史上曾被发现存在恶意攻击行为。如果不是您的登录行为,请尽快修改ECS的密码。 |
恶意IP登录(FTP) | 检测模型发现您服务器上的FTP应用被恶意IP登录成功,此IP在历史上曾被发现过存在恶意攻击行为。如果不是您的登录行为,请尽快修改FTP的密码。 |
恶意IP登录(MySQL) | 检测模型发现您服务器上的MySQL应用被恶意IP登录成功,此IP在历史上曾被发现过存在恶意攻击行为。如果不是您的登录行为,请尽快修改MySQL的密码。 |
恶意IP登录(SQL Server) | 检测模型发现您服务器上的SQL Server应用被恶意IP登录成功,此IP在历史上曾被发现过存在恶意攻击行为。如果不是您的登录行为,请尽快修改SQL Server的密码。 |
后门账户登录 | 检测模型发现您的服务器之前被攻击者植入了后门账户,且该后门账户刚刚被成功登录,如果不是您的操作行为,请尽快删除此账号。 |
弱口令账户登录 | 检测模型发现您的服务器存在弱口令的账户被成功登录,这可能是攻击者或者您自己的登录行为,弱口令是攻击者最常利用的入侵手段,建议您立即加强口令的强度,防止黑客入侵。 |
疑似对外发起登录扫描活动 | 检测模型发现您的服务器频繁对外发起爆破扫描SSH、RDP、SMB等协议的行为,可能是您的服务器已被攻击者入侵并被用于跳板来攻击其他机器。 |
异常位置登录 | 检测模型发现您的服务器在较短时间内发生了两次用户登录,而且源自地理位置相距较远的位置。其中一个位置为您的常用登录地。发生此次行为,说明您的登录请求从一个常用位置移动到异常位置。如果不是您的登录行为,请尽快修改服务器的密码。 |
异常账户登录 | 检测模型发现您服务器上的管理员组用户,从不常见的位置登录了服务器。如果不是您的操作行为,请尽快删除此账号。 |
ECS被暴力破解成功(多个无效用户) | 检测模型发现您的服务器被一个IP使用多个无效的用户名尝试登录,并最后登录成功,如果不是您的登录行为,请尽快修改ECS的密码。 |
ECS被暴力破解成功(SSH) | 检测模型发现您的服务器正在被SSH暴力破解攻击,且攻击者在进行了一定次数的尝试后,试出了您的SSH服务密码,成功登录了系统。 |
ECS登录后执行异常指令序列(SSH) | 检测模型发现您的服务器在被一IP登录后,执行了一系列恶意指令,很有可能是由于您服务器的密码较弱或密码泄露被攻击者登录执行。 |
ECS非常用时间登录 | 本次登录的时间非您定义的合法登录时间范畴,请您确认登录行为合法性。 |
ECS非常用账号登录 | 本次登录的账号非您定义的合法账号范畴,请您确认登录行为合法性。 |
ECS非常用IP登录 | 本次登录的IP非您定义的合法IP范畴,请您确认登录行为合法性。 |
ECS在非常用地登录 | 本次登录的登录地非您定义的合法登录地范畴,请您确认登录的合法性。 |
异常网络连接 | 端口转发 | 检测模型发现您服务器上有进程正在尝试建立端口转发隧道,可能是攻击者在入侵服务器后,将该服务器作为跳板进而攻击内网的其他服务器。 |
访问恶意域名 | 检测模型从DNS流量中发现您的服务器请求解析过这个风险系数高的域名,这个域名可能是远控、僵尸网络组织、矿池地址等恶意域名,意味着您的服务器可能已经沦陷并被黑客利用。 |
可疑Meterpreter反弹Shell连接 | 检测模型发现您的服务器上存在可疑进程,正在尝试利用黑客工具Meterpreter将命令控制通道反弹至攻击者的服务器。详细信息,请参见云安全中心反弹Shell多维检测技术详解。 |
矿池通信行为 | 检测模型发现您的服务器存在与矿池IP通信的流量,您的服务器可能已被攻击者入侵并用于挖矿。 |
内网扫描 | 检测模型发现您的服务器有进程在短时间内对多个内网IP的指定端口发起了疑似扫描行为,可能是攻击者在入侵后,尝试进行横向移动的行为。 |
疑似敏感端口扫描行为 | 检测模型发现您服务器上的某个进程在短时间内对敏感端口发起过多的网络请求,疑似端口扫描行为。 |
异常网络流量 | 检测模型通过分析您服务器的流量,发现存在异常的网络流量通信,可能是成功的漏洞利用、恶意软件通信、敏感信息泄露、可疑的代理隧道等,请根据告警详情信息做进一步判断处理。 |
主动连接恶意下载源 | 检测模型通过HTTP流量发现您的服务器正在尝试访问一个可疑的恶意下载源,可能是黑客通过弱口令或命令执行漏洞,从远程服务器下载恶意文件,危害服务器安全。 |
Windows异常网络连接 | 检测模型发现您服务器上某个进程的网络连接行为异常,很有可能与病毒、木马或黑客行为有关。 |
异常账号 | 使用可疑账号登录系统 | 检测模型发现到当前有用户尝试使用默认禁用、系统内置账号、或疑似黑客账号登录系统,可能是黑客的入侵行为。 |
图标,查看云安全中心提供的威胁检测模型。威胁检测从攻击入口、载荷投递、权限提升、逃避检测等10个阶段,提供全链路的云上威胁检测。