云服务器内容精选
-
侦察阶段典型告警 恶意攻击者在对网站进行入侵时通常会进行大量的信息搜集,安全云脑可以通过模型:网络-高危端口对外暴露、应用-源ip进行url遍历、应用-疑似存在源码泄露风险、网络-外部恶意IP扫描等模型对即将来到的恶意攻击进行提前预判。 图1 网络-高危端口对外暴露 图2 应用-源ip进行url遍历 处理方案: 记录所有的访问请求和响应,及时发现攻击行为,针对攻击源IP进行限制或者阻断,可以通过配置黑名单策略进行封锁。
-
持久化控制典型告警 描述: 黑客入侵成功后会在系统中留下的一个漏洞或隐藏的入口如修改计划任务等操作,攻击者可以利用这个漏洞或入口来绕过系统的安全防护措施,快速连接并获得系统的控制权。 安全云脑现有模型:网络-后门、主机-恶意定时任务写入,可以防止黑客持久化控制进行长期的数据窃取、恶意软件传播、权限维持、挖矿等行为操作。 图10 网络-后门 处理方案: 断开网络连接。首先应该立即断开与互联网的连接,防止后门进一步传播或者窃取您的敏感信息。 使用杀毒软件进行扫描。您可以使用杀毒软件进行扫描和清除后门,确保系统的安全性。如果您没有安装杀毒软件,可以通过其他计算机下载杀毒软件并将其拷贝到感染的计算机上运行。 更新操作系统和软件。更新可以修复已知的漏洞和安全问题,提高系统的安全性。 查找和删除可疑文件。您可以查找和删除可疑文件,例如未知的程序或脚本文件,这些文件可能是后门的入口。
-
权限维持典型告警 描述: 攻击者入侵成功后会进行权限维持获得持久权限,通常采用反弹shell、上传木马等方式进行权限维持。 安全云脑现有模型:主机-反弹shell、主机-恶意程序、网络-检测异常连接行为,曾多次发现异常权限转发、控制行为,帮助我们及时处理相关问题,避免导致数据泄露、系统崩溃、网络瘫痪等严重后果。 图8 主机-恶意程序 处理方案: 联系所属主机的责任人,登录到主机上停止恶意程序并删除恶意文件,同时进一步排查是否存在可疑进程,是否开放了可疑端口,是否有可疑连接等,并进一步检查自启动项,避免遗留,此外可以结合其他方式进行综合判断。
-
横向移动典型告警 描述: 攻击者在已经控制的一台计算机时,会通过横向移动或传播的方式,试图攻击其他计算机或系统,以获取更多的敏感信息或控制权,横向连接是一种常见的网络攻击手段。 安全云脑现有模型:主机-虚拟机横向连接,可以快速识别失陷主机,精准定位受害情况,减少损失。 图9 主机-虚拟机横向连接 处理方案: 建议通过堡垒机等审计记录查看该命令是程序执行还是人为操作,若为人为操作,需联系对应操作人确定,若为非正常业务人员操作,需尽快确定该行为是否为异常恶意行为,是否危害到对应虚拟机,及时采取措施,保护计算机和系统的安全。
-
尝试攻击典型告警 描述: 黑客进行尝试攻击利用web应用程序的漏洞或缺陷进行攻击,可能会造成信息泄露、网站瘫痪、恶意软件传播、网站篡改等。 安全云脑现有模型:应用-WAF关键攻击告警、网络-检测黑客工具攻击、网络-登录爆破告警、应用-疑似存在Shiro漏洞、应用-疑似存在log4j2漏洞、网络-疑似存在DOS攻击、应用-疑似存在 Java框架通用代码执行漏洞、应用-疑似存在fastjson漏洞等,可以针对于现在主流Web攻击漏洞进行检测。 图3 应用-疑似存在log4j2漏洞 图4 应用-WAF关键攻击告警 处理方案: 需要联系业务责任人,排查Web服务器是否存在相关漏洞,确认是否攻击成功。若存在漏洞,应及时修改漏洞并加固安全;若攻击成功,可结合威胁情报对攻击IP进行拦截。
-
入侵成功典型告警 描述: 命令注入、暴力破解成功、异常shell、异地登录、恶意软件(蠕虫、病毒、木马)、高危命令执行等等,往往是入侵成功的标志。 安全云脑现有模型:网络-命令注入告警、主机-暴力破解成功、主机-异常shell、主机-异地登录、网络-恶意软件 [蠕虫、病毒、木马]、主机-进程和端口信息隐匿、主机-异常文件属性修改等多个模型,可以成功快速识别恶意行为,帮助我们对事件进行快速定位,快速相应。 图5 主机-暴力破解成功 图6 网络-恶意软件 [蠕虫、病毒、木马]
-
防御绕过典型告警 描述: 当攻击者通过操作系统或应用程序中的安全漏洞获得系统的root权限后,攻击者会在侵入的主机中安装rootkit,常见的方式是通过加载特殊的驱动(windows)、安装内核模块(Linux)来修改系统内核,进而达到隐藏、操纵、收集数据等目的。在ATT&CK网站,Rootkit被列入Defense Evasion大类,即规避防御,其最终目的还是为了规避一些安全服务/软件的检测。 安全云脑现有模型:主机-恶意文件执行、主机-rootkit事件,可以精准发现相关事件,快速进行告警减少失分。 图7 主机-rootkit事件 处理方案: 检测出恶意程序安装,建议您立即确认该程序安装是否正常业务引起。若非正常业务引起,建议您立即登录系统终止该恶意程序安装行为,利用主机安全告警信息全面排查系统风险,避免系统遭受进一步破坏。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格