- 出现弱口令告警如何处理?
- 支持哪些系统或应用的弱口令检测?
- 如何设置强口令?
- 弱口令检测是针对操作系统还是服务器承载的应用系统?
- 服务器显示登录异常怎么解决?
- 正常登录行为被误报为异常登录,要如何消除误报?
- 如何查看异地登录的源IP?
- 是否可以关闭异地登录检测?
- 如何减少服务器被爆破登录的风险?
- 什么是反弹Shell?
- 正常的脚本执行行为被误报为反弹Shell,要如何消除误报?
- 反弹Shell是怎么进行检测?
- 支持哪些反弹Shell命令检测?
- 如何处理反弹Shell告警?
- 云主机遭受攻击为什么没有检测出来?
- 检测到入侵行为时,是否能够自动对安全事件进行处理?
- 使用产品过程中,是否只开启病毒检测就可以了?
- 检测到病毒文件应如何处理?
- 定时检测模式包含哪几种?
出现弱口令告警如何处理?
若收到弱口令告警说明当前云主机口令过于简单,与弱口令检测的密码库匹配,存在被入侵的风险,需及时修改弱口令。
查看弱口令检测结果:进入“风险管理 > 弱口令检测”页面,可查看检测出的弱口令。
修改弱口令:根据检测列表中的服务器信息,弱口令信息,登录出现弱口令的主机,修改弱口令。
常见弱口令修改方式:
Linux系统
登录Linux系统命令行,执行命令:passwd根据提示修改用户口令。Windows系统
登录Windows系统,左下角搜索栏搜索打开“设置”窗口,点击“账户”,在左侧导航栏中,点击“登录选项”,并根据提示修改口令。MySQL数据库
登录MySQL数据库,执行命令:SET PASSWORD FOR '用户名'@'主机'=PASSWORD('新密码');修改弱口令后,再执行命令:flush privileges;刷新用户信息,使口令修改生效。Redis数据库
打开Redis数据库配置文件redis.conf,找到“requirepass”配置行,修改弱口令(password 为登录口令)。
支持哪些系统或应用的弱口令检测?
操作系统:Linux、Windows。
数据库:MySQL、Redis、PostgreSQL、Mongo。
如何设置强口令?
可按以下规则设置口令:
密码长度不少于8位
包含大小写字母、数字及特殊字符
密码不包含用户名
密码中不含连续的字母或数字
不同的机器或应用使用不同的密码
定期修改密码,至少每三个月更新一次
弱口令检测是针对操作系统还是服务器承载的应用系统?
服务器安全卫士(原生版)弱口令检测支持操作系统弱口令、应用弱口令检测,并支持一键检测和定时检测。
服务器显示登录异常怎么解决?
查看服务器安全卫士(原生版)异常登录日志,根据日志中的登录源IP、登录地区、登录账号、登录时间进行检查,若非管理员登录,密码可能已经泄露,您需要对服务器进行详细的安全检查。
正常登录行为被误报为异常登录,要如何消除误报?
您可以通过以下方式消除误报:
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“入侵检测 > 异常登录”。
在异常登录页面,找到被定义为异常登录的记录,在右侧操作栏中,单击“标记已处理”,即可消除本条告警记录。
同时,您可以点击“白名单管理 > 新增白名单”,将您常用的登录源IP、登录地区、登录账号、登录时间加入白名单。
加入白名单后下次不会再进行异常登录告警。
如何查看异地登录的源IP?
您可以登录服务器安全卫士(原生版)控制台,在左侧导航中选择“入侵检测 > 异常登录”,在异常登录告警列表中查看异地登录的源IP地址。
是否可以关闭异地登录检测?
不可以,异地登录是入侵者常见的攻击特效,可以有效发现入侵,如果您不想接收异地登录的告警,可以将登录地点添加到白名单中进行信任。
如何减少服务器被爆破登录的风险?
在给服务器设置密码的时候要避免弱口令,在公网上布置的机器要特别注意,如果暴力破解的事件很多,需要引起用户重视,关注攻击的源和IP地址。
什么是反弹Shell?
反弹Shell是一种网络安全攻击技术,也被称为“反向连接”。它的原理是通过在受害者的计算机上执行一个恶意程序(通常是一个后门程序),并使其与攻击者的计算机建立一个反向连接。这样,攻击者就可以获取对受害者计算机的控制权,并执行各种命令、操作和访问敏感信息。
正常的脚本执行行为被误报为反弹Shell,要如何消除误报?
您可以通过以下方式消除误报:
登录服务器安全卫士(原生版)控制台。
在左侧导航中选择“入侵检测 > 反弹Shell”。
在反弹Shell页面,找到被定义为反弹Shell的记录,您可以根据服务器的IP、端口、进程等进行查询。
在右侧操作栏中,单击“加入白名单”,即可将此反弹Shell告警加入白名单,后续相同来源IP的相同操作将不会产生告警。
如果您误加入了白名单,您可以单击“白名单管理”,将误加入白名单的记录移除白名单,后续相同来源IP的相同操作将会产生告警。
反弹Shell是怎么进行检测?
购买企业版或旗舰版配额后,即可开启反弹Shell检测。
反弹Shell的检测方式是Agent定时采集在服务器执行的Shell命令,对Shell命令进行正则匹配,如果Shell命令匹配上了反Shell的正则表达式,则会判断出服务器正则受到反弹Shell攻击。
支持哪些反弹Shell命令检测?
服务器安全卫士(原生版)仅支持对Linux服务器的反弹Shell检测。
如下是当前支持的反弹Shell命令:
| 操作系统 | 工具 | 反弹名称 | 技术类别 |
|---|---|---|---|
| Linux | bash | bash反弹 | 标准输入输出重定向socket |
| exec | exec TCP反弹 | 标准输入输出重定向socket | |
| exec UDP反弹 | 应用程序命令中转 | ||
| exec TCP反弹 | 应用程序命令中转 | ||
| awk | awk反弹 | 应用程序命令中转 | |
| gawk | gawk反弹 | 应用程序命令中转 | |
| python | python反弹shell | 标准输入输出重定向socket | |
| 标准输入输出重定向管道 | |||
| 标准输入输出重定向伪终端 | |||
| 应用程序命令中转 | |||
| rev | rev反转反弹 | 标准输入输出重定向socket | |
| php | php反弹shell | 标准输入输出重定向socket | |
| perl | perl反弹shell | 标准输入输出重定向socket | |
| ruby | ruby反弹shell | 标准输入输出重定向socket | |
| nc | nc反弹shell | 标准输入输出重定向管道 | |
| nc -e反弹shell | 应用程序命令中转 | ||
| nc udp反弹shell | 标准输入输出重定向管道 | ||
| telnet | telnet反弹shell | 标准输入输出重定向管道 | |
| socat | socat反弹shell | 标准 | |
| socat反弹shell | 标准输入输出重定向伪终端 | ||
| socat反弹shell | 标准输入输出重定向伪终端 | ||
| ICMP | ICMP反弹 | 应用命令 |
如何处理反弹Shell告警?
您可以通过以下方式处理反弹Shell告警:
登录服务器安全卫士(原生版)控制台。
在左侧导航中选择“入侵检测 > 反弹Shell”。
在反弹shell页面,找到被定义为反弹shell的记录,您可以根据服务器的IP、端口、进程等进行查询。
处理反弹Shell告警。
加入白名单:在右侧操作栏中,单击“加入白名单”,即可将此反弹Shell告警加入白名单,后续相同来源IP的相同操作将不会产生告警。
标记为已处理:单击“标记已处理”,即可将本条告警记录标记为已处理,后续相同来源IP的相同操作将仍然会产生告警。
云主机遭受攻击为什么没有检测出来?
若云主机在安装服务器安全卫士Agent之前就已被攻击,服务器安全卫士可能无法检测出来。
若云主机安装Agent之后,未开启防护,服务器安全卫士可能无法检测出来。
服务器安全卫士防护的是主机层面的入侵,若攻击为Web层面,服务器安全卫士无法检测防护,可以使用WAF等其他安全产品。
检测到入侵行为时,是否能够自动对安全事件进行处理?
不能,服务器安全卫士(原生版)检测到入侵行为后会第一时间告警,处置行为由相关管理员进行,以避免处置行为与正常业务进程相冲突。
使用产品过程中,是否只开启病毒检测就可以了?
在开启病毒检测功能的同时,安全管理员可使用入侵检测功能预防异常登录/暴力破解等非法攻击行为,防止攻击者使用非法手段投放病毒,同时可使用基线管理功能,优化云主机安全基线,预防病毒感染。
检测到病毒文件应如何处理?
服务器安全卫士(原生版)检测到病毒文件会立即产生告警,需要您根据告警详细信息对病毒文件作出处置,处置方式包括以下三种:
隔离:将病毒文件或恶意程序移动至隔离区域,进行加密处理,禁止正常运行。
删除:永久从系统中删除病毒文件或恶意程序,以确保不再有可能的威胁。
信任:将某个文件或程序标记为安全并被信任,以避免将其隔离或删除。
病毒查杀检测模式包含哪几种?
包含快速检测、全盘检测、自定义检测三种模式。
快速检测:扫描耗时短,对系统关键位置文件进行扫描。
全盘检测:对主机所有硬盘文件进行扫描,清理更彻底。
自定义检测:按指定位置有选择性扫描文件。
