收到HSS的告警通知,如何查找到相关信息并处理?
如何查看
主机安全告警查看操作详情请参见查看主机安全告警,容器安全告警查看操作详情请参见查看容器安全告警事件。
如何处理
企业主机安全提供漏洞修复方法、入侵事件排查/处理方法、风险配置修复建议,操作详情请参见处理主机告警事件。
容器安全提供对告警的处理,操作详情请参见处理容器告警事件。
主机被挖矿攻击,怎么办?
黑客入侵主机后植入挖矿程序,挖矿程序会占用CPU进行超高运算,导致CPU严重损耗,并且影响主机上其他应用的运行。当您的主机被挖矿程序入侵,挖矿程序可能进行内网渗透,并在被入侵的主机上持久化驻留,从而获取最大收益。
当主机提示有挖矿行为时,请确定并清除挖矿程序,并及时对主机进行安全加固。
排查操作步骤:
1、登录管理控制台。
2、在页面左上角单击
,选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、在弹窗界面单击“体验新版”,切换至主机安全服务页面。
说明切换至新版后,在总览页左上角单击“返回旧版”,可切换至主机安全(旧版)。
4、排查进程异常行为,若出现主机挖矿行为,会触发HSS发送“进程异常行为”告警。
5、选择“入侵检测 > 安全告警事件 > 主机安全告警”,选择“系统异常行为 > 进程异常行为”,查看并处理发生的异常进程行为告警。您可以单击“处理”,对挖矿程序进行隔离查杀。
6、排查其他自启动项,有的挖矿进程为了实现长期驻留,会向系统中添加自启动项来确保系统重启后仍然能重新启动,因此,需要及时清除可疑的自启动项。
7、选择“资产管理 > 资产指纹”,单击“自启动项”,选择“历史变动记录”,查看历史变动情况。
如何对主机安全加固?
挖矿程序清除后,为了保障主机安全,请及时对主机进行安全加固。
Linux加固建议
使用HSS每日凌晨自动进行一次全面的检测,帮助您深度防御主机和应用方面潜在的安全风险。
修改系统所有帐号口令(包括系统帐户和应用帐户)为符合规范的强口令,或将主机登录方式改为密钥登录彻底规避风险。
- 设置安全口令,详细操作请参见如何设置安全的口令?
- 使用密钥登录主机。
严格控制系统管理员帐户的使用范围,为应用和中间件配置各自的权限和并严格控制使用范围。
使用安全组定义访问规则,根据业务需求对外开放端口,对于特殊业务端口,建议设置固定的来源IP(如:远程登录)或使用VPN、堡垒机建立自己的运维通道。
Windows加固建议
使用HSS全面体检并深度防御主机和应用方面潜在的安全风险,同时您还可以对您的Windows系统进行帐户安全加固、口令安全加固和授权安全加固。
帐户安全加固
| 帐户 | 说明 | 操作步骤 |
|---|---|---|
| 默认帐户安全 | 禁用Guest用户 禁用或删除其他无用帐户(建议先禁用帐户三个月,待确认没有问题后删除) |
1. 打开控制面板。 2. 选择“管理工具>计算机管理”。 3. 选择“系统工具>本地用户和组>用户”。 4. 双击Guest用户,在弹出的Guest属性窗口中,勾选“帐户已禁用”。 5. 单击“确定”,完成Guest用户禁用。 |
| 按照用户分配帐户 | 根据业务要求,设定不同的用户和用户组。 例如,管理员用户,数据库用户,审计用户等。 | 1. 打开控制面板。 2. 选择“管理工具>计算机管理”。 3. 选择“系统工具>本地用户和组”,根据业务要求,设定不同的用户和用户组,包括管理员用户,数据库用户,审计用户等。 |
| 定期检查并删除无关帐户 | 定期删除或锁定与设备运行、维护等与工作无关的帐户。 | 1. 打开控制面板。 2. 选择“管理工具>计算机管理”。 3. 选择“系统工具>本地用户和组”。 4. 单击“用户”或者“用户组”,在用户或者用户组页面,删除或锁定与设备运行、维护等与工作无关的帐户。 |
| 不显示最后的用户名 | 配置登录登出后,不显示用户名称。 | 1. 打开控制面板。 2. 选择“管理工具>本地安全策略”。 3. 在“本地安全策略”窗口中,选择“本地策略>安全选项”。 4. 双击“交互式登录:不显示最后的用户名”。 5. 在弹出的“交互式登录:不显示最后的用户名”属性窗口中,选择“启用”,并单击确定。 |
口令安全加固
| 口令 | 说明 | 操作步骤 |
|---|---|---|
| 复杂度 | 必须满足设置安全的口令的要求。 | 1. 打开控制面板。 2. 选择“管理工具>本地安全策略”。 3. 在“本地安全策略”窗口中,选择“帐户策略>密码策略”。 4. 确认“密码必须符合复杂性要求”已启用。 |
| 密码最长留存期 | 对于采用静态口令认证技术的设备,帐户口令的留存期不应长于90天。 | 1. 打开控制面板。 2. 选择“管理工具>本地安全策略”。 3. 在“本地安全策略”窗口中,选择“帐户策略>密码策略”。 4. 配置“密码最长使用期限”不大于90天。 |
| 帐户锁定策略 | 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过10次后,锁定该用户使用的帐户。 | 1. 打开控制面板。 2. 选择“管理工具>本地安全策略”。 3. 在“本地安全策略”窗口中,选择“帐户策略>帐户锁定策略”。 4. 配置“帐户锁定阈值”不大于10次。 |
授权安全加固
| 授权 | 说明 | 操作步骤 |
|---|---|---|
| 远程关机 | 在本地安全设置中,从远端系统强制关机权限只分配给Administrators组。 | 1. 打开控制面板。 2. 选择“管理工具>本地安全策略”。 3. 在“本地安全策略”窗口中,选择“本地策略>用户权限分配”。 4. 配置“从远端系统强制关机”,权限只分配给Administrators组。 |
| 本地关机 | 在本地安全设置中关闭系统权限只分配给Administrators组。 | 1. 打开控制面板。 2. 选择“管理工具>本地安全策略”。 3. 在“本地安全策略”窗口中,选择“本地策略>用户权限分配”。 4. 配置“关闭系统”,权限只分配给Administrators组。 |
| 用户权限指派 | 在本地安全设置中,取得文件或其它对象的所有权的权限只分配给Administrators组。 | 1. 打开控制面板。 2. 选择“管理工具>本地安全策略”。 3. 在“本地安全策略”窗口中,选择“本地策略>用户权限分配”。 4. 配置“取得文件或其他对象的所有权”,权限只分配给Administrators组。 |
| 授权帐户登录 | 在本地安全设置中,配置指定授权用户允许本地登录此计算机。 | 1. 打开控制面板。 2. 选择“管理工具>本地安全策略”。 3. 在“本地安全策略”窗口中,选择“本地策略>用户权限分配”。 4. 配置“允许本地登录”,权限给指定授权用户。 |
| 授权帐户从网络访问 | 在本地安全设置中,只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。 | 1. 打开控制面板。 2. 选择“管理工具>本地安全策略”。 3. 在“本地安全策略”窗口中,选择“本地策略>用户权限分配”。 4. 配置“从网络访问此计算机”,权限给指定授权用户。 |
添加告警白名单后,为什么进程还是被隔离?
告警白名单仅用于忽略告警,把当前告警事件加入告警白名单后,当再次发生相同的告警时不再进行告警。
隔离查杀恶意程序
方式一:在“安装与配置 > 安全配置 > 恶意程序隔离查杀”中,开启自动隔离查杀。
方式二:在“入侵检测 > 安全告警事件 > 主机安全告警 > 事件列表”中,将恶意程序手动隔离查杀。
隔离查杀后,该程序无法执行“读/写”操作,同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱,被隔离的文件不会对主机造成威胁。
恢复隔离查杀文件
在“入侵检测 > 安全告警事件 > 已隔离文件”中,选择“主机安全告警”,单击“已隔离文件”的“查看详情”,单击目标服务器的“恢复”,恢复隔离文件。
被隔离查杀的程序恢复隔离后,文件的“读/写”权限将会恢复,但被终止的进程不会再自动启动起来。
提示主机有挖矿行为怎么办?
当主机提示有挖矿行为时:
- 建议备份数据,关闭不必要的端口。
- 增强主机密码。
- 使用主机安全服务(HSS),HSS提供帐户破解防护、异地登录检测恶意程序检测、网站后门检测等入侵检测功能,以及软件漏洞、一键查杀恶意程序或修复系统漏洞等功能。
主机对外攻击预警,怎么处理?
主机可能中了木马病毒,建议您重装系统,并设置强口令加固服务器及phpstudy、Redis等应用。
- 设置系统所有帐号为符合规范的强密码,不要使用默认密码,或存在键盘特征的密码。
- 根据业务配置安全组策略,非公开的业务端口建议设置固定的来源IP,避免不必要的端口暴露在公网。
- 及时升级系统及应用的最新补丁。
- 定期备份数据
- 删除或重命名phpmyadmin文件夹。
服务器遭受攻击为什么没有检测出来?
- 若您的主机在开启HSS之前已被入侵,HSS可能无法检测出来。
- 若您购买了主机安全配额但是没有开启防护,HSS无法检测出来。
- HSS主要是防护主机层面的攻击,若攻击为web层面攻击,无法检测出来。建议咨询安全SA提供安全解决方案,或者推荐使用安全的其他产品(WAF,DDOS等)。
源IP被HSS拦截后,如何解除?
源IP被帐户暴力破解、源IP隶属于全网IP黑名单,以及开启IP白名单后,源IP不在IP白名单中时,均会被拦截,请根据具体场景解除拦截。
帐户暴力破解
- 若发现暴力破解主机的行为,HSS会对发起攻击的源IP进行拦截,SSH类型攻击默认拦截12小时,其他类型攻击默认拦截24小时。若被拦截的IP 在默认拦截时间内没有再继续攻击,系统自动解除拦截 。
- 若您确认源IP是可信的IP(比如运维人员因为记错密码,多次输错密码导致被封禁),可单击“入侵检测安全告警事件”页面下“已拦截IP”的“查看详情”,在弹出的页面,可手动解除被拦截的可信IP。
若您手动解除被拦截的可信IP,仅可以解除本次HSS对该IP的拦截。若再次发生多次口令输错,该IP会再次被HSS拦截。
全网IP黑名单不能手动解除拦截。
开启SSH登录IP白名单。若在HSS中配置SSH登录白名单,只允许白名单内的IP登录到主机。若需要登录主机,请添加到“SSH登录IP白名单”中。
没有手动解除的IP拦截记录为什么会显示已解除?
如果被拦截的IP在24小时内没有再继续暴力破解就会自动解除IP。
HSS的恶意程序检测周期、隔离查杀是多久一次?
检测周期:实时检测。
隔离查杀周期:
- 已开启自动隔离查杀:系统实时查杀(出现告警,立刻自动查杀)。
- 未开启自动隔离查杀:需人工查杀,逐一处理。
说明HSS的隔离查杀支持对“恶意程序(云查杀)”和“进程异常行为”实时检测的告警进行查杀,检测能力详情请参见服务版本差异。
HSS隔离查杀分为自动隔离查杀和人工隔离查杀。
- 开启自动隔离查杀:详情请参见安全配置中的“开启恶意程序隔离查杀”章节。
- 人工隔离查杀:操作详情请参见管理文件隔离箱中的“选择隔离查杀”章节。
HSS的病毒库、漏洞库多久更新一次?
更新周期:即时发现,即时更新。
漏洞库:当Windows或Linux官网有补丁发布时,企业主机安全服务产品的相关负责人会在第一时间同步更新企业主机安全服务的漏洞库。
病毒库:当后台发现新型病毒后,企业主机安全服务产品的相关负责人会在第一时间同步更新企业主机安全服务的病毒库。
HSS拦截的IP是否需要处理?
在收到有拦截IP的告警时,需要您对拦截的IP进行判断,被拦截IP是否为正常业务所使用。
- 如果是您正在使用的业务所属IP,您需将拦截IP添加至白名单。
- 如果是非正常业务所使用,则无需处理。
