云安全中心支持实时检测资产中的安全告警事件,覆盖网页防篡改、进程异常、网站后门、异常登录、恶意进程等安全告警类型。通过威胁检测模型,提供全面的安全告警类型检测,帮助您及时发现资产中的安全威胁,实时掌握资产的安全态势。
功能概述
风险等级
云安全中心将告警划分为三个风险等级,以便您区分处理的优先级。
风险等级 | 描述 | 处理说明 |
紧急 |
| 立即响应, 建议操作:隔离资产、阻断可疑网络连接、保存攻击现场。 |
可疑 |
| 需要研判,检查是否为计划内运维操作。若是,建议将该行为加入白名单;若否,应按紧急告警处理。 |
提醒 | 告警行为是攻击路径上的非必经步骤,且与正常运维行为相似,例如“可疑的端口监听行为”。 | 审计与优化, 用于发现不合规的配置或潜在风险点,建议定期审查并优化安全策略,无需立即处置。 |
威胁检测模型
云安全中心通过380+威胁检测模型提供全面的威胁检测能力,覆盖攻击链路的关键阶段,实现对攻击行为的全链路检测。检测阶段和模型示例如下:
可以在安全告警页面,单击左上角
图标,查看云安全中心提供的威胁检测模型。
初始入口:Java应用执行异常指令、Web漏洞利用等。
代码执行:反弹Shell、恶意脚本代码执行等。
持久化:免密登录证书可疑写入行为、Redis配置不当导致被利用等。
权限提升:Redis配置不当导致被利用、越权执行高危命令等。
防御绕过:Ram子账号异地登入、可疑程序等。
凭据窃取:ECS在非常用地登录、ECS暴力破解成功等。
环境探测:OSS可疑访问行为、疑似敏感端口扫描行为等。
横向移动:蠕虫病毒、Windows异常网络连接等。
数据收集:端口扫描、疑似K8s服务中间人攻击(CVE-2020-8554)等。
数据泄露:请求带外攻击(OOB)域名、可疑中控木马通信等。
远程控制:木马程序、后门程序等。
影响破坏:DDoS木马、勒索病毒等。
资源准备:自变异木马、黑客工具等。
目标侦察:主动连接恶意下载源、扫描器等。
告警功能限制
云安全中心旨在通过实时告警、漏洞管理及攻击溯源等功能,加固资产安全。但鉴于以下限制,建议采用纵深防御策略以提升整体安全性:
防御启动延迟:服务器重启后,云安全中心防御进程的启动需要一定时间。在此生效前的间隙,无法有效拦截勒索病毒、DDoS 木马等快速攻击。
未知威胁风险:由于网络攻击手段与病毒样本持续演变,业务环境亦存在差异,云安全中心无法保证对所有未知威胁的实时检测与防御。
为构建更全面的安全防线,建议将云安全中心与以下措施结合:
定期更新服务器操作系统及应用的安全补丁。
配合使用云防火墙、Web 应用防火墙等产品,以收敛网络攻击面。
告警处理流程
版本支持
包年包月
服务版本 | 检测范围 | 告警处置能力 |
免费版、增值服务版 | 云上常见的简单攻击,包括传统的一句话WebShell、非常用登录地登录、自变异木马、DDoS木马、挖矿程序等(不包含容器资产) | 告警免打扰:加白名单、忽略等。 |
防病毒版 | 免费版能力+可疑及恶意文件(含二进制)相关的检测与精准防御模型(不包含容器资产) |
|
高级版 | 防病毒版能力+可疑及恶意进程活动、文件操作相关的检测与精准防御模型(不包含容器资产) | |
企业版 | 高级版能力+380余个针对进程活动、文件操作、网络连接等所有恶意行为的检测与精准防御模型(不包含容器资产) | |
旗舰版 | 企业版能力(覆盖容器资产)+容器逃逸、风险镜像运行,非镜像程序启动等容器场景特有攻击行为的检测及主动防御模型 |
按量付费
防护等级 | 检测范围 | 告警处置能力 |
未防护 | 云上常见的简单攻击,包括传统的一句话WebShell、非常用登录地登录、自变异木马、DDoS木马、挖矿程序等(不包含容器资产) | 告警免打扰:加白名单、忽略等。 |
病毒防护 | 未防护等级能力+可疑及恶意文件(含二进制)相关的检测与精准防御模型(不包含容器资产) |
|
主机全面防护 | 病毒防护等级能力+380余个针对进程活动、文件操作、网络连接等所有恶意行为的检测与精准防御模型(不包含容器资产) | |
主机及容器全面防护 | 主机全面防护(覆盖容器资产)能力+容器逃逸、风险镜像运行,非镜像程序启动等容器场景特有攻击行为的检测及主动防御模型。 |
安全告警类型
类型 | 说明 |
网络防御告警(原攻击分析) | 若启用了主机规则-恶意行为防御的网络防御类的规则和主机规则-防暴力破解策略,云安全中心会根据这些防护规则自动拦截检测出的攻击,并生成网络防御告警类型告警。更多内容请参见网络防御告警(原攻击分析)。 重要
|
精准防御 | 恶意主机行为防御功能根据设置开启的防御规则产生的告警,告警类型为“精准防御”,关于恶意主机行为防御功能介绍请参见主机防护设置。 |
进程异常行为 | 识别进程的异常行为,如执行可疑命令序列、从异常路径启动、进程注入,以及对系统文件或配置的非法修改。 |
网站后门 | 测服务器上存在的WebShell后门文件,或被植入恶意代码的日志、图片等非程序文件。 |
异常登录 | 识别不符合预设策略的非常规登录、暴力破解成功,以及来自已知恶意IP或后门账户的登录行为。 |
恶意软件 | 检测主机上运行或存在的各类恶意软件,包括病毒、木马、勒索软件、挖矿程序及黑客工具等。 |
云产品威胁检测 | 识别针对云平台身份凭证(如AK)的盗用、滥用行为,以及对云资源进行的异常配置和权限探测。 |
异常网络连接 | 检测到服务器存在端口扫描、连接恶意源及反弹shell等多种异常网络行为,是攻击侦察、远程控制与横向移动的典型迹象。 说明 暂不支持https加密流量检测。 |
恶意脚本 | 服务器上发现恶意或可疑脚本文件并检测到相关代码执行,表明攻击者已入侵系统并正在执行恶意指令。 |
持久化后门 | 检测攻击者为维持长期控制而设置的持久化机制,如创建自启动项、内存驻留后门、隐藏进程及利用高级系统特性等。 |
敏感文件篡改 | 检测到针对核心系统文件及配置(如共享库预加载文件)的篡改行为,攻击者通过修改、替换或移动等方式,试图实现持久化驻留或绕过安全检测。 |
容器集群异常 | 检测到容器集群存在多维度、多阶段的攻击行为,主要表现为利用服务账户(Service Account)进行权限提升(如异常创建令牌、绑定高权限角色)、横向移动(如进入容器执行指令、访问Kubelet)和信息窃取(如枚举Secrets)。 |
异常账号 | 检测到系统中存在异常账号。 |
网站后门查杀(本地查杀) | 基于文件行为的威胁程度进行打分,识别具备危险功能和危险特征的可疑文件。 |
漏洞利用 | 检测利用操作系统或应用程序已知漏洞,以实现远程代码执行、权限提升或容器逃逸的攻击行为。 |
异常网络流量 | 通过分析网络流量并关联主机行为,识别出已发生的攻击及持续性的恶意活动。 |
容器防逃逸 | 在容器主动防御中创建容器防逃逸规则后,当容器内有进程尝试执行与规则定义相抵触的越权操作(如访问宿主机敏感路径、利用特权进行提权),该操作将被防御模块拦截,并生成一条安全告警。 |
容器主动防御 | 容器主动防御提供两项核心运行时安全能力,并对所有检测到的风险行为生成安全告警: |
风险镜像阻断 | 在容器主动防御中创建风险镜像阻断规则后,当集群内使用镜像创建资源(如 Pod)时,将触发云安全中心进行实时安全校验。对命中规则的风险镜像,系统会自动执行告警、拦截或放行,并生成一条安全告警。 |
可信异常 | 检测ECS可信实例的可信状态、处理相关状态异常等操作 |
其他 | 云安全中心客户端异常离线、DDoS流量攻击等。 |
告警检测项
精准防御
告警名称 | 检测说明 |
DDoS木马 | 检测模型发现您的服务器上运行了DDoS木马,DDoS木马是用于从被攻陷主机上接受指令,对黑客指定目标发起DDoS攻击的恶意程序。 |
勒索病毒 | 检测模型发现您的服务器上运行了勒索病毒,勒索病毒是一类恶性程序,会对主机上所有关键数据文件进行加密锁定以勒索赎金。 |
后门程序 | 检测模型发现您的服务器上运行了后门程序,后门程序是植入到系统中,用于给黑客对主机做持续入侵的持久化程序。 |
恶意程序 | 云查杀扫描(恶意程序)。 |
感染型病毒 | 检测模型发现您的服务器上运行了感染型病毒,感染型病毒是一类高级恶意程序,由病毒本体将恶意代码写入正常程序文件执行,因此往往有大量原本正常程序被感染后作为宿体被检出。 |
挖矿程序 | 检测模型发现您的服务器上运行了挖矿程序,挖矿程序是一类侵占主机计算资源,进行虚拟货币挖掘的程序,主机往往可见CPU占用飙高,以及其它相关的恶意程序。 |
木马程序 | 检测模型发现您的服务器上存在木马程序,木马程序是专门用于侵入用户主机的程序,一般通过伪装植入系统后会下载、释放其他的恶意程序。 |
蠕虫病毒 | 检测模型发现您的服务器上运行了蠕虫病毒,蠕虫病毒是一类用于从已攻陷主机,向其它主机做攻击横向移动的程序,往往包括漏洞利用、密码爆破等行为。 |
可疑程序 | 检测模型发现您的服务器上运行了可疑程序,可疑程序一般是具有一定恶意代码特征或高可疑度行为特征的、暂未明确分类的程序,需要用户结合信息判断。 |
自变异木马 | 检测模型发现您的服务器上运行了自变异,自变异木马是具备自变异功能的木马程序,它会改变自身hash或者将自身大量复制到不同的路径下,并后台运行起来,以躲避清理。 |
恶意IP拦截 | 云安全中心检测到有攻击者正在尝试对服务器发起攻击,“精准防御”成功拦截此次网络请求,防止该请求对服务器造成损害,该告警并不意味着服务器遭到了入侵,请放心。 |
恶意DNS请求拦截 | 云盾检测到您的ECS正在和恶意域名通信,可能是由于黑客入侵了您的服务器。“精准防御”成功拦截此次网络请求,防止该请求对服务器造成损害。 |
进程行为拦截 | 该命令是一个高危的操作,可能是黑客入侵服务器之后,进行的下一步恶意操作。云安全中心精准防御将本条命令拦截成功,防止该恶意命令执行对服务器造成的损害。 |
恶意破坏客户端进程 | 检测到有可疑的进程变动行为破坏客户端正常运行,为防止该行为破坏实时威胁检测能力,已主动拦截该行为,通常黑客为了入侵主机,常常会破坏安全防护措施,请您重点关注该告警,同时请检查服务器当前是否存在其他安全告警、高危漏洞和弱口令风险,若该行为是您主动的操作行为,请忽略该告警。 |
恶意破坏客户端文件 | 检测到有可疑的文件变动行为破坏客户端正常运行,为防止该行为破坏实时威胁检测能力,该行为已被主动拦截,通常黑客为了入侵主机,常常会破坏安全防护措施,请您重点关注该告警,同时请检查服务器当前是否存在其他安全告警、高危漏洞和弱口令风险,若该行为是您主动的操作行为,请忽略该告警。 |
漏洞利用程序 | 检测模型发现您的服务器上运行了漏洞利用程序,漏洞利用程序用于攻击或尝试攻击操作系统、应用程序的已知漏洞,用于实现提权、逃逸、任意代码执行等目的。 |
诱饵捕获勒索防护 | 利用预置的诱饵文件,检测/阻断系统中可疑的勒索行为进程 |
WebShell恶意连接拦截 | WebShell恶意连接拦截。 |
黑客工具 | 检测模型发现您的服务器上存在黑客工具,黑客工具是攻击者在入侵过程中用于权限提升、窃取敏感数据的工具,或用于卸载安全软件的程序,或入侵后植入系统的后门程序。 |
Windows后门账户登录会话阻断 | 检测到攻击者使用后门账户登录此机器,云安全中心已将此次登录行为阻断。 |
进程启动拦截(自定义) | 云安全中心支持用户添加进程文件的MD5值,主动防御基于MD5,在进程启动时对其拦截。 |
中国蚁剑 WebShell通信 | 云安全中心检测到有攻击者正在尝试对服务器发起攻击,“精准防御”成功拦截此次网络请求,防止该请求对服务器造成损害,该告警并不意味着服务器遭到了入侵,请放心。 |
中国菜刀 WebShell通信 | 云安全中心检测到有攻击者正在尝试对服务器发起攻击,“精准防御”成功拦截此次网络请求,防止该请求对服务器造成损害,该告警并不意味着服务器遭到了入侵,请放心。 |
Rootkit | 检测模型发现您的服务器上存在Rootkit,Rootkit是一类植入到系统底层,用于隐藏自身或其它恶意程序痕迹的恶意模块。 |
XISE WebShell通信 | 云安全中心检测到有攻击者正在尝试对服务器发起攻击,“精准防御”成功拦截此次网络请求,防止该请求对服务器造成损害,该告警并不意味着服务器遭到了入侵,请放心。 |
反弹shell | 黑客用于控制受害服务器的一种手段。包括bash进程反弹shell,python、perl、lua、php、telnet进程等实现的反弹shell。 |
越权执行高危命令 | 黑客通过漏洞或配置错误,提升自己在受害服务器上的权限。如脏牛漏洞、sudo提权。 |
WebShell执行命令 | 黑客通过WebShell管理工具与受害服务器上的WebShell进行通信,执行任意命令,从而控制受害服务器。包括菜刀、蚁剑、冰蝎、哥斯拉等黑客工具。 |
对抗安全软件 | 黑客尝试关闭安全软件、删除安全配置。包括停止安骑士程序、关闭防火墙等。 |
植入可疑文件 | 黑客利用漏洞或者弱口令登录写入可疑文件。包括wget、curl、tar、powershell等命令。 |
植入恶意文件 | 黑客利用漏洞或者弱口令登录写入恶意文件。包括wget、curl、tar、powershell等命令。 |
可疑蠕虫脚本行为 | 黑客利用漏洞或者弱口令登录植入可疑的蠕虫脚本。包括bash、python、perl、powershell等脚本。 |
命令行下载运行恶意文件 | 黑客利用漏洞或者弱口令登录远程执行命令,下载植入恶意文件。包括wget、curl、python、powershell等下载命令。 |
Web服务执行高危操作 | 黑客通过利用Web漏洞来执行任意命令等。包括Confluence、Exiftool等漏洞。 |
信息探测 | 服务程序执行主机命令,收集主机信息,并判断远程命令执行是否成功。包括whoami、netstat、id等。 |
云助手高级防护 | 云助手令牌可能存在泄漏或者盗用的情况,禁止云助手执行任意命令。 |
异常网络连接 | 黑客运行恶意程序或者使用系统程序连接网络,接收控制端指令,从而控制受害服务器。包括DDoS、挖矿程序、反弹shell等。 |
混淆命令 | 黑客通过对主机命令进行加密、编码等操作,进而尝试绕过病毒防御。包括base64/encode等。 |
Powershell执行高危命令 | 黑客利用系统PowerShell组件执行恶意命令,包括下载/执行Payload等恶意行为。 |
Powershell执行可疑命令 | 黑客利用系统PowerShell组件执行恶意命令,包括下载/执行Payload等恶意行为。 |
浏览器服务执行高危操作 | 黑客利用入口服务执行恶意操作,包括利用受信任系统组件远程下载/执行Payload等恶意行为。 |
入口服务执行可疑操作 | 黑客利用入口服务执行恶意操作,包括利用受信任系统组件远程下载/执行Payload等恶意行为。 |
系统进程执行高危操作 | 黑客利用入口服务执行恶意操作,包括利用受信任系统组件远程下载/执行Payload等恶意行为。 |
Java服务执行高危操作 | 黑客利用入口服务执行恶意操作,包括利用受信任系统组件远程下载/执行Payload等恶意行为。 |
Office组件执行高危操作 | 黑客利用入口服务执行恶意操作,包括利用受信任系统组件远程下载/执行Payload等恶意行为。 |
加载高危驱动 | 病毒木马/黑客工具通过加载驱动模块,进而绕过病毒防御。 |
高危账号操纵行为 | 黑客通过非法的账户操作,来实现持久化攻击的目的。 |
恶意命令执行 | 黑客通过调用系统工具执行命令或脚本来完成各类恶意行为。 |
可疑进程启动 | 疑似病毒木马启动运行。 |
删除系统备份行为 | 勒索病毒通过删除系统备份,阻止数据恢复。 |
内网扫描 | 黑客通过扫描内网资产缺陷,或用同一密码登录等方式,扩大入侵范围。包括爆破破解,密码喷洒、Web漏洞扫描等。 |
创建服务自启动项 | 病毒通过注册表、计划任务、服务等方式创建持久化启动项。 |
创建高危自启动项 | 病毒通过注册表、计划任务、服务等方式创建持久化启动项。 |
创建计划任务自启动项 | 病毒通过注册表、计划任务、服务等方式创建持久化启动项。 |
创建注册表自启动项 | 病毒通过注册表、计划任务、服务等方式创建持久化启动项。 |
创建WMI自启动项 | 病毒通过注册表、计划任务、服务等方式创建持久化启动项。 |
入侵痕迹清理 | 黑客通过删除系统日志、命令执行记录等数据销毁入侵痕迹。 |
高危凭据窃取行为 | 黑客通过Mimikatz等凭据窃取工具,尝试窃取登录凭据。 |
HashDump攻击 | 黑客通过Procdump等内存转储工具,尝试访问LSA进程获取凭据数据。 |
劫持动态链接库 | 云安全中心发现系统程序正在加载可疑的动态链接库文件,或植入恶意的动态链接库文件,怀疑是黑客通过劫持动态链接库文件,来实现劫持系统函数功能的目的。云安全中心将这类行为拦截成功,如果您觉得这次拦截是非预期的,那您可以在主动防御 - 恶意行为防御页面中,关闭“劫持动态链接库”规则集或者将受影响机器从管理主机中剔除。 |
Cknife WebShell通信 | 云安全中心检测到有攻击者正在尝试对服务器发起攻击,“精准防御”成功拦截此次网络请求,防止该请求对服务器造成损害,该告警并不意味着服务器遭到了入侵,请放心。 |
冰蝎 WebShell通信 | 黑客通过WebShell管理工具与受害服务器上的WebShell进行通信,执行任意命令,从而控制受害服务器。包括菜刀/蚁剑/冰蝎/哥斯拉等黑客工具 |
哥斯拉 WebShell通信 | 黑客通过WebShell管理工具与受害服务器上的WebShell进行通信,执行任意命令,从而控制受害服务器。包括菜刀/蚁剑/冰蝎/哥斯拉等黑客工具 |
敏感注册表项防护 | 敏感注册表项防护,包括持久化启动项、组策略配置项、系统安全配置项、映像劫持项等防御点。 |
进程注入防护 | 黑客通过将恶意代码注入到正常的进程中,实现绕过检测和防御。如ptrace |
代理工具 | 检测模型发现主机上存在代理工具,代理工具被攻击者用于代理、隧道等操作,多用于进一步入侵服务器的场景。 |
云助手服务信息探测 | 云助手服务执行主机命令,收集主机信息,并判断远程命令执行是否成功。包括whoami、netstat、id等。 |
LSA安全权限服务防护 | LSASS是负责操作系统安全策略的进程,攻击者可以通过读取/写入LSASS进程内存来实现其恶意行为,此防护规则禁止任意进程以VM_READ/WRITE权限打开LSASS进程。注:该防护能力作为安全加固项,默认拦截且不会产生告警,如果您有读取/写入LSASS进程内存的场景可尝试关闭此防护规则。 |
入口服务植入可疑脚本/二进制文件 | 数据库/Web等服务植入可疑脚本/二进制文件。 |
入口服务执行可疑行为序列 | 黑客利用入口服务执行一连串的恶意操作,在同一个父进程下,执行下载命令、读写文件、信息探测等操作。 |
自适应WebShell通信拦截 | 检测模型发现您的服务器存在恶意的WebShell通信流量,攻击者可以通过该方式进行服务器的远程控制,“精准防御”成功拦截此次网络请求,防止该请求对服务器造成损害。 |
WebShell上传 | 云安全中心检测到有攻击者正在尝试对服务器发起攻击,“精准防御”成功拦截此次网络请求,防止该请求对服务器造成损害,该告警并不意味着服务器遭到了入侵,请放心。 |
扫描器 | 检测模型发现主机上存在扫描器, 扫描器多被攻击者用于发现存活主机、开放端口、存在漏洞、弱口令等安全风险的主机,多用于进一步入侵场景 |
Java通用RCE漏洞拦截 | 云安全中心检测到有攻击者正在尝试对服务器发起攻击,“精准防御”成功拦截此次网络请求,防止该请求对服务器造成损害,该告警并不意味着服务器遭到了入侵,请放心。 |
自适应Web攻击防御 | 云安全中心利用云端智能分析引擎,可以自动识别并拦截各种Web RCE攻击流量,防止恶意请求对您的服务器造成损害。如果您觉得这次拦截是非预期的,那您可以在主动防御 - 恶意行为防御页面中,关闭对应规则或者将受影响机器从管理主机中剔除。 |
下载器木马 | 检测模型发现您的服务器上存在下载器木马,下载器木马一般会下载并释放恶意木马、广告骚扰等第三方程序。 |
主机防御链路测试 | 用于测试主机防御链路是否生效。 |
数据库服务信息探测 | 数据库服务程序执行主机命令,收集主机信息,并判断远程命令执行是否成功。包括whoami、netstat、id等。 |
云盾进程防护 | 云盾进程异常访问防护。 |
WebShell文件防御 | 云安全中心发现您的服务器存在网站后门(WebShell),并且攻击者正在尝试利用该后门文件,拦截模块识别到此次行为,并精准防御此次行为。需要注意的是,虽然防御模块成功拦截此次行为,如果您确定此文件是后门,需尽快手工隔离/删除此文件。 如果您想加白此文件,请通过: 防护配置->主机防护->主机规则管理->自定义防御规则 新建一条针对此文件路径的加白规则。 如果您想单独关闭WebShell文件防御功能,请通过: 防护配置->主机防护->主机规则管理->系统防御规则->WebShell文件防御,点击关闭开关。 |
SQL Server暴力破解 | 云安全中心检测到有攻击者正在尝试对服务器发起攻击,“精准防御”成功拦截此次网络请求,防止该请求对服务器造成损害,该告警并不意味着服务器遭到了入侵,请放心。 |
PHP WebShell上传 | 黑客利用文件上传功能上传PHP WebShell,云安全中心将阻止以.php、.phtml为后缀的文件上传。 |
JSP WebShell上传 | 黑客利用文件上传功能上传JSP WebShell,云安全中心将阻止以.jsp为后缀的文件上传。 |
ASP WebShell上传 | 黑客利用文件上传功能上传ASP WebShell,云安全中心将阻止以.asp、.ashx、.asa、.asmx、.cshtml为后缀的文件上传。 |
特殊后缀 WebShell上传 | 黑客利用文件上传功能上传特殊后缀的WebShell,云安全中心将阻止以.cer、.ascx为后缀的文件上传。 |
操作系统账号行为 | 在系统底层拦截操作系统账号行为。此规则集默认关闭,请自行评估 按需开启。 |
WebShell上传智能防御 | 云安全中心检测到有攻击者正在尝试对服务器发起攻击,“精准防御”成功拦截此次网络请求,防止该请求对服务器造成损害,该告警并不意味着服务器遭到了入侵,请放心。 |
接口可疑文件上传 | 黑客利用部分接口上传可疑的WebShell,云安全中心将阻止这部分接口的上传功能。 |
窃密工具 | 检测模型发现主机上存在窃密工具, 窃密工具多用于窃取主机上的各种敏感文件、信息 |
系统常驻进程访问防护 | 系统常驻进程和服务承载了系统的核心功能,黑客常会以高危权限访问系统进程来实现其恶意行为,此防护规则禁止任意进程以高风险权限访问系统常驻进程,包括线程创建、句柄拷贝、内存操作等权限。注:该防护能力作为安全加固项,默认拦截且不会产生告警,如果您的业务有需要访问系统常驻进程的场景可尝试关闭此防护规则。 |
RDP暴力破解 | 云安全中心检测到有攻击者正在尝试对服务器发起攻击,“精准防御”成功拦截此次网络请求,防止该请求对服务器造成损害,该告警并不意味着服务器遭到了入侵,请放心。 |
SSH暴力破解 | 云安全中心检测到有攻击者正在尝试对服务器发起攻击,“精准防御”成功拦截此次网络请求,防止该请求对服务器造成损害,该告警并不意味着服务器遭到了入侵,请放心。 |
恶意驱动 | 黑客通过安装、编译恶意的代码、加载ko/sys等驱动文件等手段,安装rootkit。 |
勒索软件 | 在您的系统磁盘上发现了可疑文件,建议您先确认文件合法性并进行处理。 |
非可信进程启动 | 拦截非白名单进程的启动行为。 |
非可信进程链异常启动 | 拦截非可信进程链的异常进程启动行为。 |
非可信进程高危网络操作 | 拦截非白名单列表中的进程异常访问公网/内网IP。 |
非可信进程高危文件操作 | 拦截非白名单列表中的进程异常修改办公文档、系统关键配置文件等高风险操作。 |
网络请求拦截 | 后台检测到异常网络请求,“精准防御”已成功拦截,防止该请求对主机造成损害。该告警并不意味着主机遭到了入侵。 |
进程异常行为
告警名称 | 检测说明 |
反弹 Shell | 云安全中心检测到您的服务器被执行了反弹Shell命令,攻击者通过该方式与自己的服务器建立了反向网络连接,通过该连接可以执行任意命令。 |
Java 应用执行异常指令 | 检测模型发现您的服务器上的Java进程启动了下载恶意程序、添加后门等高危行为,很可能是因为您使用了存在漏洞的Web框架或者中间件导致。 |
Mysql 执行异常指令 | 检测模型发现您的MySQL服务执行了可疑的命令,可能是由于MySQL服务存在弱口令、或Web服务被SQL注入导致。 |
Postgresql 应用执行异常指令 | 检测模型发现到您的 Postgre 服务执行了可疑的命令,可能是由于 Postgre 服务存在弱口令、或 Web 服务被 SQL 注入导致。 |
Redis 配置不当导致被利用 | 检测模型发现您服务器上的 Redis 应用向磁盘写入了可疑文件,可能是攻击者通过 Redis 空口令或弱口令,执行了恶意 SQL,该行为可使攻击者直接获取服务器权限。 |
免密登录证书可疑写入行为 | 云盾检测到服务器的 Root 证书目录存在异常文件变动行为,可能是黑客在尝试向服务器中注入免密证书用于后续登录攻击。 |
可疑 HTTP 隧道信息泄漏 | 检测模型发现您服务器上出现利用 HTTP 信道将命令执行结果发送到外部服务器的行为,可能是攻击者将利用 RCE 漏洞执行命令的结果返回给自己的服务器。 |
Postgres 导出功能被误用写入可疑 UDF 库文件 | 检测模型发现您服务器上的Postgres应用正在尝试向磁盘上写入可疑so文件,可能由于Postgres存在弱口令被攻击者登录后并执行了恶意SQL,该文件可能导致您的服务器被攻击者控制。 |
Mysql 导出功能误用写入可疑文件 | 检测模型发现您服务器上的MySQL应用正尝试向敏感目录写入文件,可能是攻击者通过弱口令或Web应用执行了恶意的SQL。 |
可疑 CMD 命令序列 | 检测模型在您的系统上发现某进程执行了一系列可疑的命令,这些命令与攻击者入侵后通常会执行的命令序列非常相似,建议排查这些命令的父进程,可能为远控木马、存在漏洞的 Web 服务,或者是合法进程被注入了恶意代码。 |
Windows 账户异常操作 | 检测模型发现该命令在操作系统账户时的上下文可疑,可能是恶意软件或者攻击者在进行用户账户的操作。 |
可疑的脚本操作 | 检测模型在您的机器上发现该命令与脚本相关且高度可疑,很有可能与恶意软件、黑客入侵有关。 |
异常的注册表操作 | 检测模型在您的机器上发现该命令操作注册表的方式高度可疑,可能是恶意软件或攻击者入侵后的配置修改行为。 |
可疑命令执行 | 检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。 |
Windows 可疑混淆命令 | 检测到主机执行的命令行疑似经过混淆处理,恶意软件执行或黑客入侵过程中常常会利用大小写字母或特殊字符对命令行进行混淆,以此绕过安全检测。 |
可疑的进程路径 | 检测模型发现您服务器上某个进程从一个不寻常的路径启动,常规软件通常不会在这种目录中,该进程有可能是病毒、木马、黑客入侵过程中放置的工具。 |
可疑编码命令 | 检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。 |
Linux 可疑命令序列 | 检测模型在您系统上发现某进程执行了一系列可疑的命令,这些命令与攻击者入侵后通常会执行的命令序列非常相似,建议排查这些命令的父进程,可能为反弹 shell、远控木马、存在漏洞的 Web 服务,或者是合法进程被注入了恶意代码。 |
系统日志异常删除 | 检测模型在您的系统上发现有进程尝试删除系统日志,恶意软件或攻击者通常会通过清除系统日志来达到躲避检测的目的。 |
系统备份异常删除 | 检测模型在您的系统上发现有进程尝试删除系统备份文件,可能为勒索病毒为达到勒索的目的,通过删除系统的备份来阻止恢复文件。 |
异常修改系统安全配置 | 检测模型在您的机器上发现有进程修改了系统安全配置,这可能是恶意软件或攻击者通过修改防火墙、杀毒软件配置来躲避检测。 |
异常调用系统工具 | 检测模型在您的系统上发现有进程正以一种可疑的方式调用系统工具,木马病毒或黑客常常会通过这种方式绕过常规的安全软件,进而实现下载恶意文件、加解密、加载恶意代码等恶意操作。 |
启动项异常修改 | 检测模型在您的机器上发现有进程尝试修改系统的自启动项,这可能是木马病毒或攻击者通过启动项来维持权限的行为。 |
可疑的探测命令 | 可疑的探测命令。 |
容器内部可疑命令执行 | 检测模型发现您的容器内部存在异常命令执行,存在入侵风险。 |
运行恶意容器镜像 | 检测模型发现您的服务器正在运行恶意的容器镜像,该镜像极有可能包含后门、挖矿程序、病毒或已知的严重漏洞,请及时排查并使用可信的镜像资源。 |
容器内部提权或逃逸 | 云安全中心检测到疑似在容器内部尝试提权或逃逸等异常行为,常见于异常访问 docker.sock、使用逃逸工具、创建 cgroup 等。同时有一定概率为正常业务产生的操作,如果是运维操作或正常业务功能,请忽略告警或者标记本次误报。 |
特权容器启动 | 检测模型发现您的服务器中有可疑的特权容器启动,特权容器会降低容器运行时的安全性,一旦被入侵者攻破将危害到宿主服务器上的其他容器和资产,请确保您的特权容器采用了可信的镜像源,并确保其运行的服务难以被入侵。 |
存在风险的 Docker 远程调试接口 | 检测模型发现您的 Docker 远程调试接口对 0.0.0.0 开放,暴露在公网的 Docker 远程调试接口会迅速被蠕虫入侵。仅暴露在内网也具有一定风险,常见于攻击者突破进入内网后横向移动,利用该危险配置控制更多容器资源。 |
疑似权限提升 | 检测模型发现您的服务器上有进程疑似利用系统、应用漏洞来获取更高的权限,可能是攻击者在入侵过程中进行的提权行为。 |
容器异常行为 | 云安全中心检测到您的容器内部存在安装软件、执行脚本、探测容器环境等手工操作,常见于攻击者入侵容器后的横向渗透和权限提升,同时也有一定概率为正常业务或运维需求。如发现此告警为误报,可在告警处理页面选择处理方式 “加白名单” 或者 “忽略”。 |
容器发起网络扫描行为 | 检测模型发现您的容器内部正在主动发起可疑的网络扫描行为,可能是攻击者通过此种方法进行深入渗透和横向移动。 |
容器内部凭证信息搜集 | 检测模型发现您的容器内部存在访问敏感文件行为,如:Docker/Swarm/K8s 配置文件、数据库连接配置、登录凭证、API Access Key、证书及私钥文件等。请及时确认是否存在入侵事件和数据泄露风险。 |
容器高风险操作 | 检测模型发现您的服务器正在执行高风险的容器操作,具体原因见告警详情,请排查该行为,如果是运维操作或正常业务功能,请忽略告警或者标记本次误报。 |
篡改文件时间 | 检测模型发现您的服务器上有进程尝试篡改文件时间,可能是攻击者在入侵过程中通过模仿系统正常文件时间来伪造异常文件真实的创建、访问、修改时间,以达到逃避检测的目的。 |
网络代理转发行为 | 检测模型发现您的服务器异常调用了风险工具,风险工具被攻击者用于代理、隧道、扫描工具等进一步入侵服务器的场景。 |
伪装 K8s 系统容器 | 云安全中心检测到您的服务器中执行了 docker 命令以启动一个伪装成 K8s 内部服务的容器,这常见于黑客部署后门容器时将其命名为 K8s 内部容器,从而躲避检测。 |
容器内部敏感手工操作 | 云安全中心监控到您的容器内部存在安装软件、执行脚本、探测容器环境等手工操作,常见于黑客攻入容器后需要丰富容器内部环境进行横向渗透,也见于运维人员测试过程,请确定该告警所涉及行为是否为授权操作,如果是运维操作请通过白名单规则滤除该告警。 |
容器环境可疑探测命令序列 | 云安全中心检测到一组在容器环境执行的可疑命令,常见于攻击者获取到容器内权限之后,探测容器宿主机环境、集群信息、容器逃逸条件等,以实现权限提升和横向移动的目的。因这些动作较为轻微,同时也有一定概率为正常业务或运维需求。请及时排查来源 IP 访问和操作该资源是否属于正常业务或运维需求。 |
蠕虫病毒命令 | 蠕虫病毒命令。 |
渗透工具利用行为 | 渗透工具利用行为。 |
调用扫描工具 | 调用扫描工具。 |
启动可疑镜像 | 云安全中心发现您的服务器使用可疑镜像启动容器,常见于攻击者利用服务漏洞控制容器调度,植入挖矿、后门等恶意镜像场景,请及时排查;如果是业务正常需求请忽略或标记误报。云安全中心通过实时感知云上恶意镜像传播态势、分析互联网公开镜像仓库建立恶意镜像情报库,您可以使用安全预防 - 镜像安全扫描功能检测镜像是否存在漏洞、恶意文件等。 |
可疑Powershell 指令 | 黑客常常利用 Powershell 进行恶意文件下载、恶意文件不落盘持久化运行、反弹 shell 等恶意行为。 |
可疑的文件植入行为 | 可疑的文件植入行为。 |
LSASS 内存转储 | 检测模型发现您的服务器上有 we、minikazi 等恶意软件运行,该工具可提取账号系统账号 HASH,导致您的账号密码泄露。 |
提取操作系统身份凭证 | (暂无具体检测说明) |
可疑的进程行为序列 | 检测到一个进程启动了多个可疑的子进程。该进程有可能是存在弱点的应用服务被黑客攻击,或者该进程是恶意程序。 |
从内存中动态加载文件执行 | 从内存中动态加载文件执行。 |
疑似进程注入 | 该进程将代码注入了其他进程,可能尝试将代码运行在其他进程的上下文中以实现检测绕过、权限提升、访问内存中的敏感信息等操作。 建议您采取如下措施: 1. 检查该进程与目标进程文件,如果不是合法文件则杀死该进程并隔离该文件,如果是合法进程,请在不影响正常业务的情况下重启或杀死该进程。 2. 结合该机器上的其他告警信息,综合判断此次入侵事件对业务造成的潜在影响,进行其他的响应处置。 3. 尝试分析本次入侵事件的入侵原因,修复安全漏洞。 |
Web 应用创建异常子进程 | (暂无具体检测说明)。 |
疑似内网横向攻击 | 疑似内网横向攻击。 |
持久化后门创建行为 | 持久化后门创建行为。 |
持久化后门启动行为 | 持久化后门启动行为。 |
进程命令行混淆 | 检测到主机中进程的命令行包含混淆编码,很有可能是恶意程序或黑客尝试绕过安全检测。 |
云环境信息收集 | 云环境信息收集。 |
执行异常计划任务 | 检测到系统计划任务组件创建了可疑的进程,有可能是恶意程序或黑客在获取主机权限后为了维持权限,将恶意代码添加到计划任务中所导致的。 |
SSH 后门 | 检测到与 SSH(Secure Shell)相关的后门进程。恶意程序或黑客在获取 Linux 主机权限后,有可能会修改相关文件或配置,从而通过 SSH 程序留下登录后门。 |
编辑器扩展后门 | 发现疑似与编辑器扩展组件相关后门程序。恶意程序或黑客有可能会利用正常编辑器的扩展插件功能来隐藏后门程序。 |
疑似篡改文件逃逸 | 云安全中心检测到以 "写模式" 打开重要文件的行为,常见于通过篡改该文件达到从容器逃逸到宿主机的场景,可重点排查进程,操作的文件,文件打开的属性是否来源于正常业务产生的操作,如果是运维操作或正常业务功能,请忽略告警或者标记本次误报。 |
请求带外攻击 (OOB) 域名 | 检测到主机上进程请求的域名经常被用于带外攻击外传数据。攻击者常常会使用在 payload 中指定漏洞利用成功后请求目标域名,然后通过观察特定的域名是否被请求来判断攻击是否成功。 |
异常的伪终端 Shell 创建行为 | (暂无具体检测说明) |
访问可疑矿池域名 | 检测到主机上的进程请求了可疑的矿池域名,这意味着机器可能正在与矿池通信,请结合告警和处置建议进一步排查是否存在挖矿行为。 |
容器逃逸程序启动 | Usermode Helper API 是一种 Linux 内核调用用户指定的用户空间程序的机制(如通过 /proc/sys/kernel/core_pattern 等文件指定),该程序被执行时拥有宿主机 root 特权,容器中一般不应该使用该内核机制。因此,当容器内程序被宿主机内核调用时,通常代表逃逸行为发生。 |
Windows 令牌篡改提升权限 | Windows 令牌篡改提升权限 |
访问可疑隧道域名 | 检测到主机上的进程请求了可疑的隧道域名,这意味着机器可能正在进行隧道代理通信,请结合告警和处置建议进一步排查。 |
异常修改系统文件 | 异常修改系统文件。 |
修改注册表自启动项 | 修改注册表自启动项。 |
计划任务修改行为 | 计划任务修改行为。 |
可疑的系统策略修改行为 | 可疑的系统策略修改行为。 |
Web 应用修改异常文件 | Web 应用修改异常文件。 |
父进程伪造 | 父进程伪造。 |
容器挂载高危宿主路径 | 容器挂载高危宿主路径。 |
利用环境变量劫持控制流 | 利用环境变量劫持控制流。 |
网站后门
告警名称 | 检测说明 |
发现后门(Webshell)文件 | 检测模型在您的服务器上发现了一个可疑的Webshell文件,可能是攻击者成功入侵网站后为维持权限植入的后门文件。 |
包含WEBSHELL代码的日志/图片文件 | 检测模型在您的服务器上发现了一个插入WebShell代码的文件,可能是攻击者在尝试组合利用文件包含漏洞。 |
发现任意文件写入后门 | 云安全中心在您的系统磁盘上发现了一个可导致任意文件写入的文件。这有可能是黑客成功入侵网络后植入的,也有可能是管理员自身的运维文件,建议您先确认文件合法性并处理。 |
发现信息窃取后门 | 云安全中心在您的系统磁盘上发现了一个可导致信息窃取的文件,比如数据库操作日志。这有可能是黑客成功入侵网络后植入的,也有可能是管理员自身的运维文件,建议您先确认文件合法性并处理。 |
发现挂马盗链后门文件 | 检测模型在您的系统磁盘上发现了一个可疑挂马文件,它可能代表黑客成功入侵网站后植入的,该文件存在恶意跳转引流等危险行为,建议您先确认文件合法性并处理。如果管理员自己部署放置的,可以在前台选择忽略或者标记为误报按钮。 |
发现DLL类型Web后门 | 检测模型在您的服务器上发现了一个可疑的Webshell文件,可能是攻击者成功入侵网站后为维持权限植入的后门文件。 |
异常登录
告警名称 | 检测说明 |
ECS在非常用地登录 | 本次登录的登录地非您定义的合法登录地范畴,请您确认登录的合法性。 |
ECS非常用IP登录 | 本次登录的IP非您定义的合法IP范畴,请您确认登录行为合法性。 |
ECS非常用账号登录 | 本次登录的账号非您定义的合法账号范畴,请您确认登录行为合法性。 |
ECS非常用时间登录 | 本次登录的时间不在您定义的合法登录时间范围内,请您确认登录行为合法性。 |
ECS暴力破解成功 | 您的ECS被多次尝试用错误密码登录后登录成功,系统初步判断是黑客猜解中了密码。 |
ECS被暴力破解成功(SSH) | 检测模型发现您的服务器正在被SSH暴力破解攻击,且攻击者在进行了一定次数的尝试后,试出了您的SSH服务密码,成功登录了系统。 |
ECS被暴力破解成功(RDP) | 检测模型发现您的服务器正在被RDP暴力破解攻击,且攻击者在进行了一定次数的尝试后,试出了您的RDP服务密码,成功登录了系统。 |
ECS登录后执行异常指令序列(SSH) | 检测模型发现您的服务器在被一IP登录后,执行了一系列恶意指令,很有可能是由于您服务器的密码较弱或密码泄露被攻击者登录执行。 |
异常账户登录 | 模型发现您将异常账户添加进管理员用户组,并检测到此账户有登录行为,如果不是您的操作行为,请尽快删除此账号。 |
恶意IP登录 | 检测模型发现您的服务器被恶意IP登录成功,该IP在历史上曾被发现存在恶意攻击行为。如果不是您的登录行为,请尽快修改ECS的密码。 |
后门账户登录 | 检测模型发现您的服务器之前被攻击者植入了后门账户,且该后门账户刚刚被成功登录,如果不是您的操作行为,请尽快删除此账号。 |
疑似对外发起登录扫描活动 | 检测模型发现您的服务器频繁对外发起爆破扫描SSH、RDP、SMB等协议的行为,可能是您的服务器已被攻击者入侵并被用于跳板来攻击其他机器。 |
ECS被暴力破解成功(多个无效用户) | 检测模型发现您的服务器被一个IP使用多个无效的用户名尝试登录, 并最后登录成功,如果不是您的登录行为,请尽快修改ECS的密码。 |
恶意IP登录(MYSQL) | 检测模型发现您服务器上的MySQL应用被恶意IP登录成功,此IP在历史上曾被发现过存在恶意攻击行为。如果不是您的登录行为,请尽快修改MySQL的密码。 |
恶意IP登录(FTP) | 检测模型发现您服务器上的FTP应用被恶意IP登录成功,此IP在历史上曾被发现过存在恶意攻击行为。如果不是您的登录行为,请尽快修改FTP的密码。 |
恶意IP登录(SQLSERVER) | 检测模型发现您服务器上的SQL Server应用被恶意IP登录成功,此IP在历史上曾被发现过存在恶意攻击行为。如果不是您的登录行为,请尽快修改SQL Server的密码。 |
恶意软件
告警名称 | 检测说明 |
木马程序 | 检测模型发现您的服务器上存在木马程序,木马程序是专门用于侵入用户主机的程序,一般通过伪装植入系统后会下载、释放其他的恶意程序。 |
可疑中控木马通信 | 恶意中控木马程序。 |
DDoS 木马 | 检测模型发现您的服务器上运行了 DDoS 木马,DDoS 木马是用于从被攻陷主机上接受指令,对黑客指定目标发起 DDoS 攻击的恶意程序。 |
勒索病毒 | 检测模型发现您的服务器上运行了勒索病毒,勒索病毒是一类恶性程序,会对主机上所有关键数据文件进行加密锁定以勒索赎金。 |
后门程序 | 检测模型发现您的服务器上运行了后门程序,后门程序是植入到系统中,用于给黑客对主机做持续入侵的持久化程序。 |
感染型病毒 | 检测模型发现您的服务器上运行了感染型病毒,感染型病毒是一类高级恶意程序,由病毒本体将恶意代码写入正常程序文件执行,因此往往有大量原本正常程序被感染后作为宿体被检出。 |
蠕虫病毒 | 检测模型发现您的服务器上运行了蠕虫病毒,蠕虫病毒是一类用于从已攻陷主机,向其它主机做攻击横向移动的程序,往往包括漏洞利用、密码爆破等行为。 |
恶意程序 | 检测模型发现您的服务器上运行了恶意程序,恶意程序一般是具备多种恶意行为特征的程序,或者具备骚扰、破坏行为的第三方程序。 |
挖矿程序 | 检测模型发现您的服务器上运行了挖矿程序,挖矿程序是一类侵占主机计算资源,进行虚拟货币挖掘的程序,主机往往可见 CPU 占用飙高,以及其它相关的恶意程序。 |
可疑程序 | 检测模型发现您的服务器上运行了可疑程序,可疑程序一般是具有一定恶意代码特征或高可疑度行为特征的、暂未明确分类的程序,需要用户结合信息判断。 |
高危程序 | 云查杀扫描(高危程序)。 |
自变异木马 | 检测模型发现您的服务器上运行了自变异,自变异木马是具备自变异功能的木马程序,它会改变自身hash或者将自身大量复制到不同的路径下,并后台运行起来,以躲避清理。 |
被污染的基础软件 | 检测模型发现您的服务器上存在被污染的基础软件,被污染的基础软件是一类特殊的恶意程序,一般是被植入了恶意代码的正常系统程序,虽然具备原始基础软件的功能但具有隐藏的恶意行为。 |
漏洞利用程序 | 检测模型发现您的服务器上运行了漏洞利用程序,漏洞利用程序用于攻击或尝试攻击操作系统、应用程序的已知漏洞,用于实现提权、逃逸、任意代码执行等目的。 |
黑客工具 | 检测模型发现您的服务器上存在黑客工具,黑客工具是攻击者在入侵过程中用于权限提升、窃取敏感数据的工具,或用于卸载安全软件的程序,或入侵后植入系统的后门程序。 |
Rootkit | 检测模型发现您的服务器上存在 Rootkit,Rootkit 是一类植入到系统底层,用于隐藏自身或其它恶意程序痕迹的恶意模块。 |
Rootkit 内核模块 | 检测模型发现您的服务器上存在 Rootkit,Rootkit 是一类植入到系统底层,用于隐藏自身或其它恶意程序痕迹的恶意模块。 |
高可疑程序 | 检测模型发现您的服务器上运行了可疑程序,可疑程序一般是具有一定恶意代码特征或高可疑度行为特征的、暂未明确分类的程序,需要用户结合信息判断。 |
风险软件 | 检测模型发现您的云主机上存在风险软件。风险软件不一定是真正的恶意程序,可能只是普通的软件工具。但它具有一些可能会给主机带来威胁的功能。如果被别有用心的人在网络攻击活动中使用,就有可能带来危害。常见的风险软件有进程管理工具、系统服务管理工具和远程管理工具等,具体情况需要用户结合信息判断。 |
下载器木马 | 检测模型发现您的服务器上存在下载器木马,下载器木马一般会下载并释放恶意木马、广告骚扰等第三方程序。 |
代理工具 | 检测模型发现主机上存在代理工具代理工具被攻击者用于代理、隧道,多用于进一步入侵服务器的场景。 |
引擎测试程序 | 检测模型发现主机上存在引擎测试程序,该程序多用于检测病毒检测引擎是否工作正常。 |
窃密工具 | 检测模型发现主机上存在窃密工具,窃密工具多用于窃取主机上的各种敏感文件、信息。 |
扫描器 | 检测模型发现主机上存在扫描器,扫描器多被攻击者用于发现存活主机、开放端口、存在漏洞、弱口令等安全风险的主机,多用于进一步入侵场景。 |
勒索软件 | 在您的系统磁盘上发现了可疑文件,建议您先确认文件合法性并进行处理。 |
广告程序 | 检测模型发现您的服务器上存在广告程序。广告程序一般会植入到正常软件中,骚扰正常的服务器使用,并占用额外的资源。 |
混淆程序 | 检测模型发现您的服务器上存在混淆程序,通常高级恶意软件为了躲避检测会将自身进行混淆。 |
破解程序 | 检测模型发现您的服务器上存在破解程序,此类破解程序来源不明,可能会有潜在的安全风险。 |
私服工具 | 检测模型发现您的服务器上存在私服工具,私服工具一般用于游戏 / 外挂场景,可能携带有恶意代码。 |
反弹 shell 后门 | 云查杀扫描(反弹 shell 后门)。 |
恶意文档 | 检测模型识别到恶意文档文件恶意文档被攻击者用于钓鱼攻击,诱导用户点击执行恶意载荷,获取控制权限 |
云产品威胁检测
告警名称 | 检测说明 |
Ram子账号异地登录 | 发生该告警意味着您名下的RAM子账号出现了异地登录行为,当您更换了登录地时会出现此类告警,若登录请求不是您正常业务需要,说明黑客可能已经获得了该子账号的账号密码。 |
恶意IP使用AccessKey | 系统检测到存在恶意IP正在调用您的AccessKey, 如果确认该进行不是您自己的操作, 请尽快禁用且替换AccessKey. |
OSS可疑访问行为 | 出现该告警意味着用户使用OSS工具对您的Bucket进行了异常访问,这通常可能是因为调用IP发生了变化或者API调用失败,请确认请求源IP和相关工具的操作行为是否属于正常的业务需要,否则说明黑客可能已经能够控制您的OSS Bucket。 |
云助手异常命令 | 检测模型发现您的云账户通过云助手OpenAPI在您的服务器上调用了命令,且命令的内容较为恶意,很有可能是黑客已经获取了您的AccessKey进行恶意操作。 |
AccessKey异常调用 | 系统检测到您的AccessKey存在异常调用行为 |
ECS实例角色凭证被外部调用 | 模型检测到您授予ECS实例的角色STS临时凭证在被外部IP调用访问,这可能意味着相关的ECS已经被攻击,攻击者窃取了这个ECS实例关联的角色STS临时凭证,并在外部调用。阿里云不推荐在请求STS临时凭证之外的主机上使用该凭证。关于ECS实例角色信息,请参考实例RAM角色。 |
云助手注册劫持 | 系统检测到您的ECS实例正在被其他阿里云账户安装云助手从而实现远程命令控制,请尽快确认是否为相关运维人员的操作,并排查该服务器是否存在其他异常情况。 |
黑客工具利用AK | 检测到您的AK正在被黑客工具进行利用,请尽快确认是否是正常的用户行为 |
ECS角色凭证被其他阿里云账户调用 | 模型检测到您授予ECS实例的角色STS临时凭证在被外部IP调用访问,这可能意味着相关的ECS实例已经被攻击,攻击者窃取了这个ECS实例关联的角色STS临时凭证,并在外部调用。阿里云不推荐您在请求STS临时凭证之外的主机上使用该凭证。关于ECS实例角色信息,请参考实例RAM角色。 |
ECS角色凭证异常调用敏感API | 模型检测到您的ECS实例角色进行了敏感的API操作,请您尽快确认调用者所属IP的身份,核实该活动是否属于正常的业务行为。如果IP属于自身资产下的ECS,也需要排查是否存在失陷的风险。通常在入侵活动中,黑客可能会通过入侵服务器或网站窃取到ECS实例的角色凭证,并借助该身份进行这类敏感的API调用从而实现进一步的攻击。 |
可疑身份调用敏感API | 模型检测到您的账号进行了较为敏感的API操作,且调用IP不属于常用的地理位置,需要您核实调用者的身份以及相关操作是否合理,避免AK存在泄露的风险。 |
异常的ECS资源遍历行为 | 检测到您正在遍历各个区域下的资源实例,且调用IP不属于常用的地理位置,需要您核实调用者的身份以及相关操作是否合理,避免AK存在泄露的风险。 |
异常的RDS资源遍历行为 | 模型检测到您正在遍历各个区域下的资源实例,且调用IP不属于常用的地理位置,需要您核实调用者的身份以及相关操作是否合理,避免AK存在泄露的风险。 |
异常的OSS访问权限遍历行为 | 模型检测到您正在遍历OSS多个存储空间(Bucket)的访问权限(ACL),且调用IP不属于常用的地理位置,需要您核实调用者的身份以及相关操作是否合理,避免AK存在泄露的风险。 |
异常的创建高权限子账户行为 | 该账号创建了admin权限的RAM子账户并启用了Web控制台登录,通常黑客会采用这种手段植入后门以便进行后续的入侵操作,请迅速排查该子账号的创建是否属于相关人员的合法操作。 |
异常的多子账号权限遍历行为 | 模型检测到您正在遍历多个子账号的权限策略,且调用IP不属于常用的地理位置,需要您核实调用者的身份以及相关操作是否合理,避免AK存在泄露的风险。 |
异常的单子账号权限遍历行为 | 模型检测到您正在遍历子账号及其所属用户组的权限策略,且调用IP不属于常用的地理位置,需要您核实调用者的身份以及相关操作是否合理,避免AK存在泄露的风险。 |
异常的角色权限遍历行为 | 模型检测到您正在遍历账号内多个角色的权限策略,且调用IP不属于常用的地理位置,需要您核实调用者的身份以及相关操作是否合理,避免AK存在泄露的风险。 |
异常的开放公网访问数据库行为 | 模型检测到您将数据库变更为可公网访问,同时添加了IP白名单,且调用IP不属于常用的地理位置,需要您核实调用者的身份以及相关操作是否合理,避免AK存在泄露的风险。 |
异常的创建高权限角色行为 | 如果您需要使用角色,通常只用赋予其特定服务的权限即可,不建议直接赋予角色管理员权限。请您尽快核实并确认该角色的创建是否属于正常的业务需求。 |
异常的权限探测行为 | 模型检测到您正在遍历多种云产品的API调用权限,疑似黑客工具的自动化调用行为,需要您尽快核实调用者的身份以及相关操作是否合理,避免AK存在泄露的风险。 |
RAM用户登录控制台执行敏感操作 | 检测到您为RAM用户启用了Web控制台登录,并在控制台执行了较为敏感的操作行为。 |
云助手异常命令 | 检测模型发现您的云账户通过云助手OpenAPI在您的服务器上调用了命令,且命令的内容较为恶意,很有可能是黑客已经获取了您的AccessKey进行恶意操作。 |
异常网络连接
告警名称 | 检测说明 |
主动连接恶意下载源 | 检测模型通过HTTP流量发现您的服务器正在尝试访问一个可疑的恶意下载源,可能是黑客通过弱口令或命令执行漏洞,从远程服务器下载恶意文件,危害服务器安全。 |
疑似敏感端口扫描行为 | 检测模型发现您服务器上的某个进程在短时间内对敏感端口发起过多的网络请求,疑似端口扫描行为。 |
Windows异常网络连接 | 检测模型发现您系统上某个进程的网络连接行为异常,很有可能与病毒、木马或黑客行为有关。 |
反弹shell网络外连 | 云安全中心检测到疑似反弹shell网络外连,攻击者通过该方式与自己的服务器建立了反向网络连接,通过该连接可以执行任意命令,请及时排查。如果是运维操作或正常业务功能,请忽略告警或者标记本次误报。 |
可疑端口监听 | 可疑端口监听。 |
内网扫描 | 检测模型发现您的服务器有进程在短时间内对多个内网IP的指定端口发起了疑似扫描行为,可能是攻击者在入侵后,尝试进行横向移动的行为。 |
手工调用容器API | 云安全中心发现可疑的手动访问容器API行为,在容器服务未启用认证以及鉴权的场景下,攻击者可通过访问容器API获取容器信息、创建容器、在容器中执行恶意指令、上传恶意镜像等。同时有一定概率为运维正常手工操作,请及时排查。 |
恶意脚本
告警名称 | 检测说明 |
发现恶意脚本文件 | 检测模型发现您的服务器上存在恶意脚本文件,该文件极有可能是攻击者成功入侵服务器后植入的,建议您根据恶意脚本的标签检查文件内容的合法性并进行处理。 |
恶意脚本代码执行 | 检测模型发现您的服务器上正在执行恶意的Bash、PowerShell、Python等脚本代码。 |
发现可疑下载行为 | 检测模型发现您的服务器上存在可疑的下载行为,该文件有可能是攻击者成功入侵服务器后执行的命令操作,建议您检查该命令执行的合法性并进行处理。 |
发现可疑脚本文件 | 检测模型发现您的服务器上存在可疑脚本文件,该文件有可能是攻击者成功入侵服务器后植入的,建议您根据恶意脚本的标签检查文件内容的合法性并进行处理。 |
可疑脚本代码执行 | 检测模型发现您的服务器上正在执行可疑的Bash、PowerShell、Python等脚本代码。 |
恶意脚本 | SCRIPT_agentless。 |
包含恶意代码的文件 | 检测模型发现您的服务器上存在恶意脚本文件,该文件极有可能是攻击者成功入侵服务器后植入的,建议您根据恶意脚本的标签检查文件内容的合法性并进行处理。 |
包含可疑代码的文件 | 检测模型发现您的服务器上存在恶意脚本文件,该文件极有可能是攻击者成功入侵服务器后植入的,建议您根据恶意脚本的标签检查文件内容的合法性并进行处理。 |
持久化后门
告警名称 | 检测说明 |
异常代码驻留内存 | 云安全中心在该进程的内存空间中检测到恶意代码,这表明有可能是合法的进程启动后被注入了恶意指令,或者进程文件本身是恶意程序。 建议您采取如下行动: 1.检查该进程文件,如果不是合法文件则杀死该进程并隔离该文件,如果是合法进程,请在不影响正常业务的情况下杀死该进程。 2.结合该机器上的其他告警信息,综合判断此次入侵事件对业务造成的潜在影响,进行其他的响应处置。 3.尝试分析本次入侵事件的入侵原因,修复安全漏洞。 |
后门进程 | 检测模型发现您的服务器上存在一疑似后门的可疑进程,可能是攻击者为维持权限遗留下的持久化行为。 |
自启动后门 | 云安全中心检测到您的主机上存在异常的自启动项,极有可能是恶意软件或黑客为了保持恶意程序驻留而植入的。如果不处理这些自启动项,恶意程序很有可能会再次植入。因此建议您使用”病毒防御“对主机进行全面的扫描和清理,或根据告警中的详情手动进行处理。 |
异常进程驻留 | 检测模型发现您的服务器当前运行中的程序中存在异常进程,可能是恶意程序或利用正常程序加载了恶意代码。 |
恶意启动项脚本 | 检测模型发现您服务器上的某些自启动项文件可疑,可能是恶意软件或攻击者通过计划任务、自启动脚本进行的持久化行为。 |
隐藏进程 | 云安全中心检测到该进程是一个隐藏进程,常规的进程查看工具无法显示。恶意软件或黑客会使用各种技术来隐藏恶意程序进程,主机很有可能已经感染了Rootkit后门。 |
SSH后门公钥 | 检测模型发现您的服务器上存在异常的SSH登录公钥,该SSH公钥历史上曾被蠕虫或黑客添加到被入侵的服务器中以达到权限维持的目的。 |
CobaltStrike 远控木马 | 检测到该进程的内存中存在 Cobalt Strike远程控制后门。 有可能是黑客使用了进程注入技术,将恶意代码跨进程注入到该进程之中,即使该程进程的原始文件是正常的,在被注入后也会执行恶意代码。 也有可能该程序本身就是恶意程序。 建议您采取如下措施: 1.检查该进程文件,如果不是合法文件则杀死该进程并隔离该文件,如果是合法进程,请在不影响正常业务的情况下杀死该进程。 2.结合该机器上的其他告警信息,综合判断此次入侵事件对业务造成的潜在影响,进行其他的响应处置。 3.尝试分析本次入侵事件的入侵原因,修复安全漏洞。 |
隐藏的内核模块 | 检测模型发现您的服务器上存在隐藏的内核模块,极有可能是黑客或恶意软件植入的Rootkit后门,用于维持系统权限和隐藏其他恶意行为。 |
Web应用内存中驻留后门 | 在主机上的Web应用进程中检测到可疑的代码或数据,有可能是漏洞被利用攻击时所生成的中间代码或是黑客用于维持权限安装的后门,这类后门仅存在于进程内存中,不需要在磁盘上保存文件。建议您先修复Web应用漏洞并重启Web应用程序使后门失效,并同时关注主机上其他的相关告警;如果您确定该告警是误报,则可以选择忽略或加白告警。 |
Kerberos票据注入攻击 | Kerberos票据注入攻击。 |
WMI事件订阅持久化攻击 | WMI事件订阅持久化攻击。 |
SkeletonKey域控持久化攻击 | SkeletonKey域控持久化攻击。 |
进程路径伪造 | 进程路径伪造。 |
异常注册表项 | 检测模型发现您服务器上的某个注册表配置项可疑,恶意软件常常会修改某些关键注册表配置来持久化运行或干扰正常的安全防护。 |
异常的库文件装载 | 异常的库文件装载。 |
进程可执行映像篡改 | 进程可执行映像篡改。 |
SIDHistory注入攻击 | SIDHistory注入攻击。 |
动态链接库函数劫持 | 动态链接库函数劫持。 |
异常.NET模块装载内存 | 异常.NET模块装载内存。 |
异常计划任务 | 异常计划任务。 |
异常计划任务 | 异常计划任务。 |
异常线程执行 | 异常线程执行。 |
进程隐藏行为 | 进程隐藏行为。 |
Web应用内存发现异常代码 | Web应用内存发现异常代码 |
Linux异常服务 | Linux异常服务。 |
Windows异常服务 | Windows异常服务。 |
系统基础库文件劫持 | 系统基础库文件劫持。 |
进程运行时函数劫持 | 进程运行时函数劫持。 |
Linux异常启动脚本 | Linux异常启动脚本。 |
CobaltStrike 远控木马 | 检测到该进程的内存中存在 Cobalt Strike远程控制后门。 有可能是黑客使用了进程注入技术,将恶意代码跨进程注入到该进程之中,即使该程进程的原始文件是正常的,在被注入后也会执行恶意代码。 也有可能该程序本身就是恶意程序。 建议您采取如下措施: 1.检查该进程文件,如果不是合法文件则杀死该进程并隔离该文件,如果是合法进程,请在不影响正常业务的情况下杀死该进程。 2.结合该机器上的其他告警信息,综合判断此次入侵事件对业务造成的潜在影响,进行其他的响应处置。 3.尝试分析本次入侵事件的入侵原因,修复安全漏洞。 |
Kerberos票据注入攻击 | Kerberos票据注入攻击。 |
Linux异常服务 | Linux异常服务。 |
异常计划任务 | 异常计划任务。 |
SIDHistory注入攻击 | SIDHistory注入攻击。 |
SkeletonKey域控持久化攻击 | SkeletonKey域控持久化攻击。 |
Windows异常服务 | Windows异常服务。 |
异常计划任务 | 异常计划任务。 |
WMI事件订阅持久化攻击 | WMI事件订阅持久化攻击。 |
动态链接库函数劫持 | 动态链接库函数劫持。 |
后门进程 | 检测模型发现您的服务器上存在一疑似后门的可疑进程,可能是攻击者为维持权限遗留下的持久化行为。 |
异常.NET模块装载内存 | 异常.NET模块装载内存。 |
异常代码驻留内存 | 云安全中心在该进程的内存空间中检测到恶意代码,这表明有可能是合法的进程启动后被注入了恶意指令,或者进程文件本身是恶意程序。 建议您采取如下行动: 1.检查该进程文件,如果不是合法文件则杀死该进程并隔离该文件,如果是合法进程,请在不影响正常业务的情况下杀死该进程。 2.结合该机器上的其他告警信息,综合判断此次入侵事件对业务造成的潜在影响,进行其他的响应处置。 3.尝试分析本次入侵事件的入侵原因,修复安全漏洞。 |
异常的库文件装载 | 异常的库文件装载。 |
异常注册表项 | 检测模型发现您服务器上的某个注册表配置项可疑,恶意软件常常会修改某些关键注册表配置来持久化运行或干扰正常的安全防护。 |
异常线程执行 | 异常线程执行。 |
系统基础库文件劫持 | 系统基础库文件劫持。 |
进程可执行映像篡改 | 进程可执行映像篡改。 |
进程路径伪造 | 进程路径伪造。 |
进程运行时函数劫持 | 进程运行时函数劫持。 |
进程隐藏行为 | 进程隐藏行为。 |
Linux异常终端配置文件 | Linux异常终端配置文件。 |
敏感文件篡改
告警名称 | 检测说明 |
篡改系统文件 | 检测模型发现您服务器上有进程尝试修改、替换系统文件,可能是攻击者尝试通过替换系统文件以达到躲避检测、隐藏后门等目的,请及时确认您服务器上告警的系统文件是否为真实的系统文件。 |
挪移系统文件 | 检测模型发现您的服务器上游进程尝试挪移系统文件,可能是攻击者在入侵过程中,通过挪移被安全软件监控的系统文件来达到绕过部分检测逻辑的目的。 |
Linux共享库文件预加载配置文件可疑篡改 | 检测模型发现您服务器上的共享库文件预加载配置文件正在被可疑篡改。 |
容器集群异常
告警名称 | 检测说明 |
调用K8s API进入容器执行可疑指令 | 云安全中心检测到调用Kubernetes API进入容器执行可疑指令的行为,常见于跨容器、节点与容器间等多种场景下的横向移动攻击。同时也有一定概率为正常业务或运维需求。 |
恶意镜像Pod启动 | 检测到您的K8s集群中启动了含有恶意镜像的Pod,常见于镜像中存在后门、挖矿程序等恶意程序。 |
K8s Service Account横向移动 | 检测模型发现您的某个Service Account请求了历史基线外的权限,或多次触发鉴权失败。这通常出现在攻击者入侵到某个Pod内部,并利用从已入侵服务器获取的Service Account凭证攻击API Server的过程,请及时排查。 |
K8s匿名用户认证成功 | 检测到匿名用户成功登录事件,不建议在业务集群中允许匿名用户访问重要资源,当集群暴露在公网且允许匿名用户访问时风险极高,常见于攻击者利用匿名认证进入并控制Kubernetes API Server下发任务。请及时排查该操作是否由可信用户触发,并限制匿名用户的访问权限。 |
异常访问K8s Secrets | 检测模型发现您的K8s集群中存在枚举Secrets的行为,这可能意味着您的集群遭到入侵后攻击者正在窃取K8s Secrets中的敏感信息,请及时排查该操作是否由可信程序或管理员触发。 |
K8s可疑操作序列 | 云安全中心检测到您的K8s集群某账户执行了一系列基线外的高风险指令,请检查该指令是否由可信的运维人员执行,否则您的集群很有可能已被攻击者入侵,如确认为可信行为请添加白名单,滤除后续相似行为的告警。 |
K8s绑定用户到管理员角色 | 云安全中心检测到您的K8s集群中正在将用户绑定到高权限系统角色(ClusterRole),请确认此行为由运维人员或系统组件触发,否则您的服务器可能已被攻击者入侵并通过此方法留存后门账户,如确认误报可在添加白名单中忽略此类告警。 |
疑似K8s服务中间人攻击(CVE-2020-8554) | 在K8s集群中用户可以通过创建Service来劫持集群流量并转发给任意的外部IP以窃取信息。云安全中心检测到您的K8s集群中创建的服务中的ExternalIP指定了外部IP,这符合K8s中间人攻击(CVE-2020-8554)漏洞的利用特征。 |
Node敏感目录挂载 | 云安全中心发现您的Pod启动时挂载了敏感目录或文件,存在容器逃逸风险,一旦Pod被入侵控制,攻击者有机率通过挂载敏感文件从Pod逃逸并控制Node节点,建议尽量减少配置Pod挂载宿主机敏感目录,如根目录、计划任务配置目录、系统服务配置目录等,如属于风险可控的必要业务,可以加入白名单并忽略此告警。 |
可疑的访问K8s API Server请求 | 检测到可疑的K8s Api Server请求,具体异常原因见告警详情。同时有一定概率为业务正常操作,可以重点查看该操作请求的来源IP、使用的User Agent,操作的资源以及发起请求的用户来进行判断是否正常,如需查看完整的K8s Api Server请求日志,可根据告警详情中的K8s审计日志SLS信息,使用告警详情中的auditID字段进行搜索。 |
Kubernetes集群用户绑定高权限角色 | 检测到Kubernetes集群用户绑定了高权限角色,高权限指对命名空间或整个集群的重要资源进行读取和操作的权限,例如集群管理员、读取命名空间下所有secrets、创建pod与登入pod内执行命令、创建高权限角色等等。当攻击者获取到高权限用户的凭证时,可利用此类权限在集群内进行横向移动或权限提升,最终达到控制整个集群的目的。一类常见攻击场景是,web应用的Service Account被赋予过高权限,攻击者通过web应用漏洞进入pod内,读取并使用Service Account凭证进一步访问和控制集群其他资源。 |
服务账户异常创建令牌 | 获取令牌账户通常由集群真实用户发起。服务账户(Service Account)是 Kubernetes 中的一种内置对象,它与特定的命名空间(Namespace)关联,可以被 Pod 中的进程用来和 Kubernetes API 服务进行交互。当某服务账号尝试获取其他账号令牌时,可能发生提权行为。 |
服务账号修改所拥有集群角色权限 | 应用的服务账号所拥有的集群角色权限集合在创建后一般不会由自身服务账号修改。因此当某服务账号请求修改自身所绑定的集群角色权限时,通常代表发生提权行为。 |
服务账号修改所绑定集群角色 | 应用的服务账号通常不会修改自身绑定的集群角色。因此当某服务账号创建并绑定其角色时,通常代表发生提权行为。 |
服务账号假冒其他用户主体请求资源 | 应用的服务账号通常不需要假冒其他用户主体请求资源。因此当某服务账户假冒其他用户主体发起请求时,可能发生提权行为。 |
服务账号创建配置系统组件服务账号Pod | 集群系统组件服务账号通常拥有较高权限,并且不应当被其他工作负载引用。因此当某服务账号创建配置了系统组件服务账号的 Pod 时,通常代表发生提权行为。 |
可疑的探测自身权限集合请求 | 集群中工作负载通常较少发起检查自身服务账号权限请求,因此当某服务账号请求获取自身所拥有的权限集合时,可能代表该服务账号被攻击者控制。 |
节点身份获取集群secret | 集群节点的 kubelet 证书具有获取secret的权限,该能力可被攻击者滥用以获取集群中的敏感 secret 资源。因此当某节点身份请求获取secret时,通常代表发生提权行为。 |
服务账号创建节点代理资源执行命令 | 节点代理资源可以被用来在 Pod 中执行命令,但集群中工作负载一般不需要使用此方式。因此,当某服务账号以节点代理资源方式在Pod中执行命令时,通常代表发生提权行为。 |
服务账号窃取其他节点Pod | 污点是一种 Kubernetes 调度特性,用于限制 Pod 是否可被调度到某一节点,攻击者可在已控制节点的情况下,将失陷节点以外的节点标记不可调度,从而使目标 Pod 被调度到失陷节点,进一步获取其凭证。当某服务为大量节点创建污点时,可能发生提权行为。 |
服务账号直接访问kubelet监听端口 | 10250是kubelet 与API Server 通信的端口,集群内业务工作负载通常不会使用服务账户访问此端口。当某服务账号直接访问 kubelet 监听端口且请求特定资源时,通常代表发生提权行为。 |
服务账号创建临时容器进入Pod | 临时容器是一种允许开发者调试运行中 Pod 的方法,开发者通过创建临时容器进入目标账号命名空间。此类操作不应由服务账号发起,当服务账号请求创建临时容器时,通常代表攻击者使用该身份尝试进入其他 Pod 进行提权。 |
异常账号
告警名称 | 检测说明 |
后门账号 | 检测到系统中存在异常账号。黑客或恶意程序会创建新账号或激活访客账号来维持访问权限,如果这不是正常业务需要使用的账号,建议登录主机进行处理。 |
网站后门查杀(本地查杀)
告警名称 | 检测说明 |
发现后门(Webshell)文件 | 基于文件行为的威胁程度进行打分,识别具备危险功能和危险特征的可疑文件。这些文件可能是黑客入侵后植入的,但也可能是含可疑代码的正常文件或日志文件(若日志存于 web 路径也可能触发告警),需管理员确认合法性。 |
漏洞利用
告警名称 | 检测说明 |
Web漏洞利用 | Web漏洞利用。 |
主机漏洞利用 | 主机漏洞利用。 |
疑似篡改文件逃逸 | 云安全中心检测到以"写模式"打开重要文件的行为,常见于通过篡改该文件达到从容器逃逸到宿主机的场景,可重点排查进程,操作的文件,文件打开的属性是否来源于正常业务产生的操作,如果是运维操作或正常业务功能,请忽略告警或者标记本次误报。 |
TOCTOU类漏洞利用 | 云安全中心检测到疑似TOCTOU漏洞(time-of-check-to-time-of-use)利用行为,漏洞编号见告警详情,这类漏洞通常用于容器逃逸、权限提升等,建议排查相关软件是否在漏洞影响范围,并及时修复漏洞。同时存在小概率误报场景,请标记误报或加入白名单。 |
容器启动挂载敏感宿主机目录 | 云安全中心发现容器存在风险行为,如以特权方式启动容器、启动时挂载敏感目录或文件等,在该场景下,攻击者有几率利用危险配置逃逸到宿主机,建议不要以特权方式启动,不要配置Pod挂载宿主机敏感目录,如根目录、计划任务配置目录、系统服务配置目录等。 |
异常网络流量
告警名称 | 检测说明 |
可疑文件上传 | 检测模型发现您的服务器流量中存在可疑的文件上传流量,并且主机上有相关的可疑文件落地或者被修改,请根据告警详情信息做进一步判断处理。建议的排查思路如下:1)排查是否有相关联的webshell文件告警;2)排查流量中的文件上传点是否可以被恶意利用;3)排查主机上该文件是否是管理员主动上传、创建、修改、web服务更新或备份等已知的主动行为,请忽略该告警或者添加路径白名单;4)若确认是恶意的文件上传行为,请处理机器上的恶意文件,并对文件上传点进行加固,推荐使用白名单的文件名加固措施。 |
Web应用命令执行 | 检测模型发现您的服务器流量中存在恶意的Web攻击流量,并且在端上执行了相对应的命令,这意味着您的服务可能存在漏洞并被黑客利用,请根据告警详情信息做进一步判断处理。 |
矿池通信流量 | 检测模型发现您的服务器存在与矿池IP通信的流量,您的服务器可能已被攻击者入侵并用于挖矿。 |
隧道代理通信 | 检测模型发现您的服务器流量中存在可疑的隧道代理通信流量,请根据告警详情信息做进一步判断处理。 |
反弹shell流量 | 检测模型发现您的服务器流量中存在恶意的反弹shell流量,攻击者通过该方式与自己的服务器建立了反向网络连接,通过该连接可以执行任意命令,请根据告警详情信息做进一步判断处理。 |
后门通信流量 | 检测模型发现您的服务器流量中存在恶意的后门通信流量,攻击者通过该方式与自己的服务器建立了远程控制通道,请根据告警详情信息做进一步判断处理。 |
Java反序列化攻击 | 检测模型发现您的服务器流量中存在恶意的java反序列攻击流量,并且java进程有可疑的网络外连或者执行了可疑的命令,这意味着您的服务可能存在漏洞并被黑客利用,请根据告警详情信息做进一步判断处理。 |
Dnslog攻击 | 检测模型发现您的服务器流量中存在恶意的dnslog攻击流量,并且服务器访问了该dnslog域名,这意味着您的服务可能存在漏洞并被黑客利用,请根据告警详情信息做进一步判断处理。 |
容器防逃逸
告警名称 | 检测说明 |
高危系统调用 | 常见于利用内核漏洞提权、逃逸行为中使用的关键系统调用。 |
利用漏洞或配置不当逃逸 | 常见于利用容器启动时配置了较高权限、挂载伪文件系统等,导致攻击者可在容器内使用core_pattern、cgroup等系统机制进行逃逸。 |
修改宿主机用户配置文件 | 常见于容器启动时挂载了系统用户配置文件如/etc/passwd、SSH服务配置目录等,导致攻击者可通过在容器内修改该类文件获取宿主机节点用户权限。 |
写入宿主机高危目录逃逸 | 常见于容器启动时挂载了系统定时启动任务目录(如/etc/crontab等)、自启动任务目录(如/etc/init.d等)、触发式任务目录(如/etc/profile等)、Kubernetes静态Pod配置目录等等,攻击者可向该类目录写入恶意代码被宿主机自动执行以获取权限。 |
运行容器逃逸工具 | 云安全中心检测到容器内启动了逃逸工具。常见于攻击者入侵容器后,试图突破容器与宿主节点之间的隔离,以获得节点主机的访问控制权限。 |
容器主动防御
告警名称 | 检测说明 |
非镜像程序启动 | 云安全中心检测到非镜像程序启动,常见于容器在运行状态中被安装了非镜像自带的可执行程序,如后门木马等。同时有一定概率为业务正常安装需求,请及时处理。 |
文件防御 | 文件防御。 |
非镜像程序启动拦截 | 云安全中心检测到非镜像程序启动,常见于容器在运行状态中被安装了非镜像自带的可执行程序,如后门木马等。同时有一定概率为业务正常安装需求,请及时处理。 |
风险镜像阻断
告警名称 | 检测说明 |
集群启动互联网恶意镜像 | 集群启动互联网恶意镜像。 |
集群启动未扫描镜像 | 集群启动未扫描镜像 。 |
集群启动存在漏洞的镜像 | 集群启动存在漏洞的镜像。 |
集群启动存在恶意文件的镜像 | 集群启动存在恶意文件的镜像。 |
集群启动基线检查未通过的镜像 | 集群启动基线检查未通过的镜像。 |
集群启动存在敏感文件的镜像 | 集群启动存在敏感文件的镜像。 |
集群启动存在风险构建指令的镜像 | 集群启动存在风险构建指令的镜像。 |
可信异常
告警名称 | 检测说明 |
系统启动组件可信性事件 | 检测ECS可信实例的可信状态、处理相关状态异常等操作,更多信息参考使用可信实例。 |
其他
告警名称 | 检测说明 |
DDoS | DDoS流量攻击。 |
云安全中心客户端异常离线 | 检测模型发现您服务器上的云安全中心客户端主进程AliYunDun出现离线情况,且在一定时间内未重新上线,因此推送告警。该情况可能是因为网络不稳定导致的暂时现象,也可能是因为遭到恶意黑客入侵导致云安全中心客户端被强制卸载。请登录服务器确认云安全中心客户端进程是否处于运行状态,如果不在请及时启动。 |
云外主机云安全中心客户端异常离线 | 检测模型发现您服务器上的云安全中心客户端主进程AliYunDun出现离线情况,且在一定时间内未重新上线,因此推送告警。该情况可能是因为网络不稳定导致的暂时现象,也可能是因为遭到恶意黑客入侵导致云安全中心客户端被强制卸载。请登录服务器确认云安全中心客户端进程是否处于运行状态,如果不在请及时启动。 |