- 出现弱口令告警如何处理?
- 支持哪些系统或应用的弱口令检测?
- 如何设置强口令?
- 弱口令检测是针对操作系统还是服务器承载的应用系统?
- 服务器显示登录异常怎么解决?
- 正常登录行为被误报为异常登录,要如何消除误报?
- 如何查看异地登录的源IP?
- 是否可以关闭异地登录检测?
- 如何减少服务器被爆破登录的风险?
- 什么是反弹Shell?
- 正常的脚本执行行为被误报为反弹Shell,要如何消除误报?
- 反弹Shell是怎么进行检测?
- 支持哪些反弹Shell命令检测?
- 如何处理反弹Shell告警?
- 云主机遭受攻击为什么没有检测出来?
- 检测到入侵行为时,是否能够自动对安全事件进行处理?
- 使用产品过程中,是否只开启病毒检测就可以了?
- 检测到病毒文件应如何处理?
- 定时检测模式包含哪几种?
出现弱口令告警如何处理?
若收到弱口令告警说明当前云主机口令过于简单,与弱口令检测的密码库匹配,存在被入侵的风险,需及时修改弱口令。
进入“基线管理 -> 弱口令检测”页面,可查看检测出的弱口令:
根据检测列表中的服务器信息,弱口令信息,登录出现弱口令的主机,修改弱口令。
常见弱口令修改方式:
- Linux系统
登录Linux系统命令行,执行命令:passwd 根据提示修改用户口令。 - Windows系统
登录Windows系统,左下角搜索栏搜索打开”设置“窗口,点击”账户“,在左侧导航栏中,点击”登录选项“,并根据提示修改口令。 - MySQL数据库
登录MySQL数据库,执行命令:SET PASSWORD FOR '用户名'@'主机'=PASSWORD('新密码'); 修改弱口令后,再执行命令:flush privileges;刷新用户信息,使口令修改生效。 - Redis数据库
打开Redis数据库配置文件redis.conf,找到" requirepass "配置行,修改弱口令(password 为登录口令)。
支持哪些系统或应用的弱口令检测?
- 操作系统:Linux、Windows。
- 数据库:MySQL、Redis、PostgreSQL、Mongo。
如何设置强口令?
可按以下规则设置口令:
- 密码长度不少于8位
- 包含大小写字母、数字及特殊字符
- 密码不包含用户名
- 密码中不含连续的字母或数字
- 不同的机器或应用使用不同的密码
- 定期修改密码,至少每三个月更新一次
弱口令检测是针对操作系统还是服务器承载的应用系统?
服务器安全卫士(原生版)弱口令检测支持操作系统弱口令、应用弱口令检测,并支持一键检测和定时检测。
服务器显示登录异常怎么解决?
查看服务器安全卫士(原生版)异常登录日志,根据日志中的登录源IP、登录地区、登录账号、登录时间进行检查,若非管理员登录,密码可能已经泄露,您需要对服务器进行详细的安全检查。
正常登录行为被误报为异常登录,要如何消除误报?
您可以通过以下方式消除误报:
- 登录服务器安全卫士(原生版)控制台。
- 在左侧导航栏,选择“入侵检测 > 异常登录”。
- 在异常登录页面,找到被定义为异常登录的记录,在右侧操作栏中,单击“标记为已处理”,即可消除本条告警记录。
- 同时,您可以点击“白名单管理 > 新增白名单”,将您常用的登录源IP、登录地区、登录账号、登录时间加入白名单。
加入白名单后下次不会再进行异常登录告警。
如何查看异地登录的源IP?
您可以登录服务器安全卫士(原生版)控制台,在左侧导航中选择“入侵检测 > 异常登录”,在异常登录告警列表中查看异地登录的源IP地址。
是否可以关闭异地登录检测?
不可以,异地登录是入侵者常见的攻击特效,可以有效发现入侵,如果您不想接收异地登录的告警,可以将登录地点添加到白名单中进行信任。
如何减少服务器被爆破登录的风险?
在给服务器设置密码的时候要避免弱口令,在公网上布置的机器要特别注意,如果暴力破解的事件很多,需要引起用户重视,关注攻击的源和IP地址。
什么是反弹Shell?
反弹Shell是一种网络安全攻击技术,也被称为"反向连接"。它的原理是通过在受害者的计算机上执行一个恶意程序(通常是一个后门程序),并使其与攻击者的计算机建立一个反向连接。这样,攻击者就可以获取对受害者计算机的控制权,并执行各种命令、操作和访问敏感信息。
正常的脚本执行行为被误报为反弹Shell,要如何消除误报?
您可以通过以下方式消除误报:
-
登录服务器安全卫士(原生版)控制台。
-
在左侧导航中选择“入侵检测 > 反弹Shell”。
-
在反弹Shell页面,找到被定义为反弹Shell的记录,您可以根据服务器的IP、端口、进程等进行查询。
-
在右侧操作栏中,单击“加入白名单”,即可将此反弹Shell告警加入白名单,后续相同来源IP的相同操作将不会产生告警。
如果您误加入了白名单,您可以单击“白名单管理”,将误加入白名单的记录移除白名单,后续相同来源IP的相同操作将会产生告警。
反弹Shell是怎么进行检测?
反弹Shell是企业版的功能,您需要开通企业版防护,才会开启反弹Shell检测。开通企业版防护后,将自动开启反弹Shell检测。
反弹Shell的检测方式是Agent定时采集在服务器执行的Shell命令,对Shell命令进行正则匹配,如果Shell命令匹配上了反Shell的正则表达式,则会判断出服务器正则受到反弹Shell攻击。
支持哪些反弹Shell命令检测?
服务器安全卫士(原生版)仅支持对Linux服务器的反弹Shell检测。如下是当前支持的反弹Shell命令:
操作系统 工具 反弹名称 技术类别 Linux bash bash反弹 标准输入输出重定向socket exec exec TCP反弹 标准输入输出重定向socket exec UDP反弹 应用程序命令中转 exec TCP反弹 应用程序命令中转 awk awk反弹 应用程序命令中转 gawk gawk反弹 应用程序命令中转 python python反弹shell 标准输入输出重定向socket 标准输入输出重定向管道 标准输入输出重定向伪终端 应用程序命令中转 rev
rev反转反弹
标准输入输出重定向socket
php
php反弹shell
标准输入输出重定向socket
perl
perl反弹shell
标准输入输出重定向socket
ruby
ruby反弹shell
标准输入输出重定向socket
nc
nc反弹shell
标准输入输出重定向管道
nc -e反弹shell
应用程序命令中转
nc udp反弹shell
标准输入输出重定向管道
telnet
telnet反弹shell
标准输入输出重定向管道
socat
socat反弹shell
标准
socat反弹shell
标准输入输出重定向伪终端
socat反弹shell
标准输入输出重定向伪终端
ICMP
ICMP反弹
应用命令
如何处理反弹Shell告警?
您可以登录服务器安全卫士(原生版)控制台,在左侧导航中选择入侵检测 -> 反弹shell,在反弹shell页面,找到被定义为反弹shell的记录,您可以根据服务器的ip、端口、进程等进行查询。
在右侧操作栏中,单击“加入白名单”,即可将此反弹shell告警加入白名单,后续相同来源ip的相同操作将不会产生告警。单击“标记为已处理”,即可将本条告警记录标记为已处理,后续相同来源ip的相同操作将仍然会产生告警。
云主机遭受攻击为什么没有检测出来?
- 若云主机在安装服务器安全卫士agent之前就已被攻击,服务器安全卫士可能无法检测出来。
- 若云主机安装agent之后,未开启防护,服务器安全卫士可能无法检测出来。
- 服务器安全卫士防护的是主机层面的入侵,若攻击为web层面,服务器安全卫士无法检测防护,可以使用WAF等其他安全产品。
检测到入侵行为时,是否能够自动对安全事件进行处理?
不能,服务器安全卫士(原生版)检测到入侵行为后会第一时间告警,处置行为由相关管理员进行,以避免处置行为与正常业务进程相冲突。
使用产品过程中,是否只开启病毒检测就可以了?
不是,在开启病毒检测功能的同时,安全管理员可使用入侵检测功能预防异常登录/暴力破解等非法攻击行为,防止攻击者使用非法手段投放病毒,同时可使用基线管理功能,优化云主机安全基线,预防病毒感染。
检测到病毒文件应如何处理?
服务器安全卫士(原生版)检测到病毒文件会立即产生告警,需要您根据告警详细信息对病毒文件作出处置,处置方式包括以下三种:
- 隔离:将病毒文件或恶意程序移动至隔离区域,进行加密处理,禁止正常运行。
- 删除:永久从系统中删除病毒文件或恶意程序,以确保不再有可能的威胁。
- 信任:将某个文件或程序标记为安全并被信任,以避免将其隔离或删除。
定时检测模式包含哪几种?
包含快速检测、全盘检测、自定义检测三种模式。
- 快速检测:扫描耗时短,对系统关键位置文件进行扫描。
- 全盘检测:对主机所有硬盘文件进行扫描,清理更彻底。
- 自定义检测:按指定位置有选择性扫描文件。