本文汇总了威胁检测的常见问题。

如何判断资产中是否存在挖矿威胁?

如果您服务器的CPU使用率明显升高,例如达到80%以上,并且出现未知进程持续向外发送网络包的情况,可以判定您的服务器中存在挖矿威胁。

云安全中心防护的资产被挖矿程序入侵时,云安全中心会向您发送告警短信或邮件,您可以在云安全中心控制台威胁检测 > 安全告警处理页面处理挖矿事件告警。挖矿程序如果关联了其他告警事件,例如矿池通信行为访问恶意域名等,建议您一并处理关联的告警事件。如何查看和处理关联告警请参见查看告警自动化关联分析

挖矿告警

未开启病毒拦截,我的服务器遭受挖矿攻击,该如何处理?

云安全中心控制台安全告警处理页面,定位到相应告警,单击其操作列处理,选择病毒查杀隔离该进程的源文件结束该进程的运行后单击立即处理。在设置页面,打开病毒拦截开关。

我不小心将挖矿告警加入了白名单,该如何取消?

云安全中心控制台安全告警处理页面,将筛选条件改为已处理,可以看到已经处理过的全部告警。定位到相应告警,单击其操作列取消白名单,即可恢复该告警。

如何查看我已开启了哪些防御能力?

云安全中心支持对您已开启的防御能力提供总览,帮助您快速了解已开启未开启的防御项目。

您可在云安全中心控制台安全告警处理页面,查看已开启和未开启的防御项目。安全告警处理
已开启的防御项默认不展示,您可在安全告警处理页面单击展开图标图标,展开防御能力列表。展开防御能力列表
除应用白名单和网页防篡改告警类型以外,云安全中心默认为用户开启所购买版本支持的告警事件防御能力。
说明
  • 如需开通网页防篡改等防御能力,需升级到基础杀毒版、高级版或企业版,并购买网页防篡改增值服务。有关开通网页防篡改的内容,请参见开通服务。网页防篡改详细操作请参见网页防篡改启用网页防篡改保护
  • 目前应用白名单功能处于邀测阶段,您可通过云安全中心控制台安全运营 > 应用市场提交开通试用的申请。应用白名单详细操作请参见应用白名单
  • 云产品威胁检测为企业版功能,企业版自动开启防御;基础杀毒版、高级版需要升级至企业版后才能自动开启防御。

如何确认病毒自动拦截已生效?

云安全中心控制台设置页面开启了病毒拦截后,您可以在安全告警处理页面,将筛选条件更改为精准防御已处理,看到防御状态为拦截成功说明病毒自动拦截已生效。精准防御拦截成功

云安全中心如何发现黑客入侵行为?

云安全中心发现的所有黑客入侵行为,是通过扫描检测和阿里云安全工程师分析客户流量数据并加以验证得出的。

常见的黑客入侵行为有哪些?

云安全中心提供的告警检测项已经覆盖了常见的黑客入侵行为,包括后门、暴力破解、挖矿等。详细内容请参见安全告警类型列表

phpinfo为什么会产生告警,是否为误报?

不是误报。

phpinfo包含大量敏感信息,例如网站绝对路径等,具有较高的风险性,可能存在被黑客利用的风险。大部分黑客第一步都会上传phpinfo从而为进一步渗透获取更多信息。如果您确认该文件是您业务所需的正常文件,您可以在云安全中心控制台安全告警处理页面处理该告警时选择加入白名单

是否可以自动隔离Webshell文件?

不可以。由于WebShell文件可能涉及您业务方面的信息,需要您判断后手动隔离。被隔离的文件可以在文件隔离箱中找到,且30天内可以恢复。

云安全中心WebShell检测的原理是什么?

云安全中心采用主机+网络双重检测机制,检测PHP、ASP、JSP等类型的网站脚本文件。以下是两种检测机制的介绍:
  • 主机检测:实时监控主机上网站目录文件的变化。
  • 网络检测:通过还原后门文件及分析网络协议进行检测。

为什么安全告警中涉及到我服务器中常用的文件,是误报吗?

这种情况不属于误报。如果您服务器中常用的文件生成时间存在改动、文件内容包含明显的后门语句,云安全中心也会进行相应告警。您排查后根据实际情况进行处理即可。

安全告警可以将哪些对象加入白名单?

安全告警处理功能支持对恶意进程(云查杀)类的告警进行加白名单的操作。加入白名单操作仅针对当前告警事件中的访问源进行加白。支持加入白名单的告警类型详见以下表格。

告警类型 加白对象
恶意进程(云查杀) 基于文件MD5值加白
异常登录 对异常登录的IP加白
访问恶意IP、矿池通信行为 基于IP加白
访问恶意域名 基于域名加白
访问恶意下载源、主动连接恶意下载源 基于URL加白
WebShell 基于Web目录配置加白
恶意脚本 基于MD5和路径加白
云产品威胁检测 支持在控制台配置加白规则
进程异常行为 基于命令行加白
持久化后门 基于文件MD5和特征加白
敏感文件篡改 基于文件路径加白
应用入侵事件 基于命令行加白
Web应用威胁检测 基于域名或URL加白
异常网络连接 基于进程命令行、目标IP、目标端口加白。如果有部分字段缺失,仅对已有字段加白。

常见告警处理方法有哪些?

本部分内容介绍云安全中心常见告警的处理方法。
  • 进程异常行为告警处理
    查看告警,确认该行为是否为正常业务操作。如果是正常业务操作,单击处理并选择加白名单;如果不是正常业务行为,要结合其它告警处理安全事件,安全事件处理完毕后,在控制台单击处理并选择忽略进程异常行为告警进程异常行为告警处理方式
  • 网站后门处理
    确认对应的文件是否为正常业务文件。如果是正常业务文件,单击处理并选择加白名单;如果不是正常的业务文件请单击处理并选择隔离网站后门处理网站后门处理方式
  • 恶意进程(云查杀)
    建议您使用病毒查杀功能,结束恶意进程运行并隔离源文件,或登录服务器进行手动处理。该类恶意程序可能还存在自删除行为,或伪装成系统程序以躲避检测。如果发现该文件不存在,请检查是否存在可疑进程、定时任务或启动项。恶意进程(云查杀)恶意进程(云查杀)处理方式
  • 异常网络连接
    若为正常业务流量,请单击处理并选择加白名单;若不是正常业务流量,请依据具体告警采用云防火墙、WAF进行针对性拦截,处理完毕后选择忽略,该事件将移置已处理中。异常网络连接异常网络连接处理方式

正常登录服务器,云安全中心提示异常登录,如何避免这种情况?

通过使用云安全中心控制台安全告警处理页面的安全告警设置功能,设置常用登录IP、时间及账号,支持对于例外的登录行为进行告警。支持手动添加和自动更新常用登录地,对指定资产的异地登录行为进行告警。

设置了常用IP、时间及账号,并且正常登录,依然会提示异常登录怎么办?

这种情况应先判断告警类型是否为非合法IP登录、在非常用地登录还是非常用账号登录。登录IP、登录地、账号、时间都是影响登录告警的因素,不存在优先级关系,只要其中一个因素存在异常,都会触发告警。

产生异常登录告警时,登录是成功了还是被拦截了?

产生异常登录告警表示已经登录成功,但是这个登录行为被云安全中心判定为可疑行为,所以产生该可疑行为的告警事件。

异常登录告警已确定为黑客登录,我该怎么办?

云安全中心控制台安全告警处理页面,定位到该告警并单击操作列的处理,选择阻断12小时并单击立即处理,即可立马阻断该黑客的入侵。建议您立即修改密码,并检查服务器是否存在其他未知账号和其他未知公钥,防止SSH免密登录。阻断12个小时

出现ECS登录后执行异常指令序列(SSH)告警时,该操作是否已经被执行?

该命令已经被执行,请您及时更新服务器登录密码,并检查服务器是否有其他异常行为,例如启动了未知进程。

发生异常登录告警时,对应服务器应该查看什么日志?

您可以查看服务器/var/log/secure目录下的信息。例如执行命令grep 10.80.22.22 /var/log/secure

如何查看服务器被暴力破解的次数或拦截情况?

云安全中心控制台威胁检测 > 攻击分析页面,可以查看SSH暴力破解拦截成功的信息。

如何预防服务器被暴力破解?

您可以通过设置常用登录IP、或采取证书登录方式,避免该情况发生。设置常用登录IP的方法请参见安全告警设置

误操作导致防暴力破解生效怎么办?

如果在设置了防暴力破解规则后,由于登录失败次数太多,导致防暴力破解规则生效,无法登录服务器,您可以参考以下方法解除禁止登录:

云安全中心控制台安全告警处理页面,单击生效IP拦截策略/全部策略下的数字,在IP规则策略库页面,找到对应的拦截规则,将该规则的策略状态置为已禁用禁用拦截规则

如何开通防暴力破解功能?

您可以参考以下步骤开通防暴力破解功能。更多详细信息请参见配置防暴力破解规则
  1. 安全风险处理页面单击防暴力破解右侧的立即处理,进入安全告警设置 > 防暴力破解配置界面。安全风险处理
  2. (可选)进行授权操作。
    说明 首次配置暴力破解防御规则需要操作授权,如果已经添加过暴力破解防御规则,您可以跳过该步骤。
    1. 将鼠标移动至防暴力破解右侧的管理,单击去授权
    2. 单击同意授权

    完成操作授权后,请返回安全告警设置 > 防暴力破解页签,添加暴力破解防御规则。

  3. 单击防暴力破解右侧的管理
  4. 添加防御规则页面,配置防御规则。添加防御规则

    云安全中心为您提供了默认防御规则:防暴力破解攻击阿里云最佳实践,该防御规则具体为10分钟内登录失败次数超过80次,禁止登录6小时。您可以选择对应服务器,直接使用该默认防御规则。您也可以参考以下表格中的配置说明自定义防御规则。

    参数 说明
    防御规则名称 可自定义规则名称。
    防御规则 设置某个时间范围(支持选择1分钟、2分钟、5分钟、10分钟、15分钟)内登录失败次数超过限定次数(支持选择2次、3次、4次、5次、10次、50次、80次、100次),禁止登录时长(支持选择5分钟、15分钟、30分钟、1小时、2小时、6小时、12小时、24小时、7天、永久)

    例如:1分钟内登录失败次数超过3次,禁止登录30分钟

    请选择对应的服务器 设置防御规则生效的服务器。支持直接选择云安全中心防护的服务器,或根据服务器名称和IP筛选指定服务器。
    设置为默认策略 设置该防御规则是否为默认策略。设置为默认策略后,其他未添加防御规则的服务器将默认应用该规则。
    说明 选中设置为默认策略后,无论您是否在请选择对应的服务器中选择了服务器,当前策略都会对所有未添加防御规则的服务器生效。
  5. 单击确定

被暴力破解成功之后该怎么处理?

如果您的服务器密码被暴力破解成功,攻击者很有可能已经入侵并登录您的服务器并留下恶意程序。您可以在云安全中心控制台威胁检测 > 安全告警处理页面查看是否存在暴力破解成功相关的告警。
如果您的资产中存在ECS被暴力破解成功类似告警,则表示您的相应服务器已被暴力破解成功,建议您尽快参考以下步骤加固您的服务器安全:
  • 处理被暴力破解成功相关告警
    云安全中心控制台威胁检测 > 安全告警处理页面,单击告警操作列的处理,在告警处理页面选择阻断后,单击立即处理。云安全中心将为您生成安全组防御规则,拦截恶意IP的访问。更多信息请见查看和处理告警事件处理ECS被暴力破解成功告警
  • 修改服务器用户密码

    请尽快更换您服务器被暴力破解成功的用户密码,建议您使用复杂密码。

  • 使用云安全中心基线检查功能进行风险检测
    使用云安全中心的基线检查功能全面检测您的服务器安全,并根据建议处理风险项。
    说明 基线配置检查功能仅在云安全中心企业版中提供。
  • 重置您的服务器,并加固服务器安全

    加固您的服务器安全,详情请参见ECS安全部署方法

为什么修改22端口后仍然出现密码暴力破解提示?

如果您将Linux服务器上的SSH服务的默认端口从22修改为其它端口,您仍然可能收到云安全中心安全告警功能提示的密码暴力破解告警信息。

云安全中心异常登录事件检测会根据尝试登录SSH服务的频繁度,检测是否存在暴力破解攻击行为。因此,即使您已修改SSH服务的默认端口,当恶意攻击者尝试暴力破解您的SSH服务时,云安全中心仍然能正常检测到攻击行为并为您提示告警信息。

如果您的服务器被暴力破解成功,建议您及时对服务器进行安全加固。详细内容请参见被暴力破解成功之后该怎么处理?

为什么安全组或者防火墙规则已经屏蔽了RDP服务的3389端口,但RDP还是有被暴力破解的记录?

由于Windows登录审核机制的原因, $IPC 、RDP、SAMBA服务的登录审核过程被记录在同一个日志里面,且未区分具体登录方式。所以,在已经屏蔽了RDP服务端口还出现RDP被暴力破解记录时,您需要检查是否还开启了其它两个服务。

检查方法是查看ECS是否有监听135、139、445等端口并且外网IP均可访问,并且查看Windows安全类日志是否在该时段有对应的登录记录。

ECS登录弱口令是指系统层面的RDP或者SSH扫描吗?

弱口令包含两种,一种是RDP和SSH的弱口令,一种是类似CMS管理员后台登录的弱口令。

如何处理SSH、RDP远程登录被拦截?

如果您发现当前IP无法远程连接(SSH、RDP)云上服务器,您可以在安全管控管理控制台将登录IP加入到服务器白名单,防止其访问服务器时被拦截。

参照以下步骤,将登录IP地址添加到服务器白名单:
  1. 登录云安全中心控制台
  2. 在左侧导航栏单击设置,在设置页签中的安全管控模块,单击设置,跳转到安全管控管理控制台。安全管控跳转入口
    说明 您也可以将鼠标移至阿里云管理控制台右上角的账户图标,在悬浮菜单中单击安全管控进入安全管控管理控制台。
    安全管控入口
  3. 在安全管控管理控制台左侧导航栏,定位到白名单管理 > IP白名单页面,单击添加
  4. 源IP文本框中输入需要加入IP白名单的IP地址,并配置允许该IP地址登录的服务器。从左侧服务器框中选择目标服务器(可多选),并单击右向箭头,将其添加到右侧白名单配置生效的已选服务器框中。添加IP地址
  5. 配置完成后,单击确定

高危敏感信息泄露处置方案

企业或个人用户在使用GitHub、码云等中国及中国以外地域代码托管平台时,其托管的源代码中已被发现或可能存在以下敏感信息:阿里云账号AccessKey、RDS账号密码、ECS自建数据库或邮箱的账号密码等。上述账号密码信息在被他人获取后,可以被直接用来访问用户的阿里云资源和数据资源,导致企业或个人敏感信息泄露。

如果企业使用ECS自行搭建部署了数据库服务,开发人员可能在数据库连接配置文件里面写入数据库连接密码、邮箱密码等高危敏感信息。如果黑客通过GitHub获取泄露的账号密码,并成功通过认证,则可以轻易获取企业数据,给企业带来极大的安全风险。

解决方案
  • (推荐)使用私有的Github代码仓库来管理代码,或搭建企业内部的代码托管系统,防止源代码泄露和敏感信息泄露。
  • 如果发现阿里云AccessKey等高危敏感信息泄露,应立即登录阿里云控制台,禁用并重置AccessKey(或直接删除);同时尽快删除GitHub托管代码。
  • 定期前往日志服务控制台,搜索对应的服务器访问日志,检查数据是否泄漏。例如,检索日志源Web访问日志,选择URI字段,检查包含有AccessKey应用文件的文件路径等。
  • 建立企业内部的安全运维规范和开发红线,培训内部IT人员,提高其安全意识,防止信息泄露。

AccessKey的更多信息请参见阿里云AccessKey