云服务器内容精选
-
混合云解决方案 根据服务器的不同类别会采用不同的安装方式进行Agent安装,获取安装命令的方式也不一样。 表2 混合云方案安装命令获取方式 服务器场景类别 安装命令/安装包获取方式 华为云服务器 华为云控制台复制华为云安装命令。 非华为云服务器(互联网) 搭建代理服务,生成安装命令或安装包,使用专线代理服务器可避免访问公网。 局域网服务器(包含数据中心、政务云等) 若使用的服务器包含了华为云服务器、非华为云服务器(互联网)、局域网服务器(包含数据中心、政务云等)场景,华为云服务器的安装流程详情请参见安装Agent,非华为云服务器和局域网服务器(包含数据中心、政务云等)安装操作流程如图2所示。 图2 局域网服务器搭建流程
-
华为云解决方案 根据服务器的不同类别会采用不同的安装方式进行Agent安装,获取安装命令的方式也不一样。 表1 华为云方案安装命令获取方式 服务器场景类别 安装命令获取 华为云服务器 华为云控制台复制华为云安装命令。 非华为云服务器(互联网) 华为云控制台复制非华为云安装命令。 说明: 非华为云安装命令支持的局点包含:北京一、北京四、上海一、上海二、广州、香港、新加坡、贵阳一、雅加达,其他所有Region需按照局域网服务的方式获取安装命令。 局域网服务器(包含数据中心、政务云等) 搭建代理服务,生成安装命令或安装包,使用专线代理服务器可避免访问公网。 若使用的服务器包含了华为云服务器、非华为云服务器(互联网)、局域网服务器(包含数据中心、政务云等),华为云服务器和非华为云服务器(互联网)的安装流程详情请参见安装Agent,局域网服务器(包含数据中心、政务云等)安装流程如图1所示。
-
其他防护建议 若您暂时无法进行升级操作,也可以采用以下方式进行防护: 方式一:使用以下命令禁用credential helper git config --unset credential.helper git config --global --unset credential.helper git config --system --unset credential.helper 方式二:提高警惕避免恶意URL 使用git clone时,检查URL的主机名和用户名中是否存在编码的换行符(%0a)或者凭据协议注入的证据(例如:host=github.com)。 避免将子模块与不受信任的仓库一起使用(不使用clone --recurse-submodules;只有在检查gitmodules中找到url之后,才使用git submodule update)。 请勿对不受信任的URL执行git clone。
-
什么是勒索软件攻击 勒索软件攻击已成为当今企业面临的最大安全挑战之一。勒索软件可以锁定受害者的数据或资产设备,攻击者会要求在支付赎金后才能赎回数据,防止数据被盗,也存在即使支付赎金也无法赎回数据情况。 一旦被勒索软件攻击成功,可能导致您的业务中断、数据泄露、数据丢失等严重问题,从而可能对企业的运转、经济、形象、信誉造成重大损失和不良影响,出现的安全问题可能对企业发展产生重大阻碍,出现一蹶不振的现象。 近年来,勒索病毒攻击量呈倍增趋势,且隐蔽性极强、变种多、变化快,攻击目标更多元,攻击路径更多样化,应对勒索软件攻击当下刻不容缓。 图1 勒索概述 父主题: 勒索病毒防护最佳实践
-
告警处理建议 告警类型 说明 处理建议 恶意软件 护网场景下主机安全服务检测出病毒、木马、黑客工具、Webshell类型的恶意软件居多,其中黑客工具类型尤其多,因此请重点关注这些类型的恶意软件告警。 发现恶意软件类告警即表示告警主机大概率被攻破,请按以下方式处理: 立即进行安全排查。 对告警主机进行网络隔离,防止横向扩散。 反弹Shell 反弹shell是攻击机监听在某个TCP/UDP端口为服务端,同时使目标机主动发起请求到攻击机监听的端口,并将其命令行的输入输出转到攻击机。攻击者一般通过漏洞利用获取主机命令执行权限后,建立反弹shell连接,进行下一步的恶意行为。 发现反弹shell告警即表示告警主机大概率被攻破,请分析告警详情中的攻击源IP: 如果攻击源IP是外网IP:可以确定主机被攻破,请对主机进行网络隔离,并立即进行安全排查;同时如果反弹shell执行的命令中包含某一应用路径,则大概率是通过此应用的漏洞入侵,需要分析对应应用是否存在高危漏洞。 如果攻击源IP是内网IP:需要确认此反弹shell是否为客户业务进程,如果不是,需要同时排查告警主机和攻击源主机。 异常登录 异常登录是指使用未经授权的账户或者非正常的时间、地点等方式进行的登录行为,这种行为通常是黑客和攻击者尝试获取系统访问权限或滥用现有权限的一种方式。 确认是否为正常登录行为: 是:通过安全组限制固定IP登录,不允许任意公网IP登录主机。 否:主机已被攻破,请立即进行安全排查。 文件提权/进程提权/文件目录 文件提权 恶意攻击者利用漏洞或错误配置的文件系统权限,获取比其正常权限更高的访问权限的过程。通过文件提权攻击,攻击者可以获取对系统中敏感数据和资源的访问权限,例如加密的密码文件、关键配置文件等,从而实施进一步的攻击。 进程提权 攻击者利用漏洞或错误配置的进程权限,获取比其正常权限更高的访问权限的过程。通过进程提权攻击,攻击者可以获取对系统中敏感数据和资源的访问权限,例如加密的密码文件、关键配置文件等,从而实施进一步的攻击。 文件/目录变更 指系统中对文件和目录的修改、删除、移动等行为,可能会对系统的稳定性、可用性和安全性产生影响。 这类告警一般需要结合其他告警(如反弹shell、异常登录、恶意软件等高危告警)分析。 如果同主机有反弹shell、异常登录或恶意软件等高危告警,则该主机被攻破,需要立刻进行安全排查。 如果此类告警单独出现,无其他高危告警,则优先分析是否为正常业务触发的误报。 高危命令执行告警 HSS预置策略会将strace、rz、tcpdump、nmap、nc、ncat、sz命令识别为高危命令。 这类告警一般需要结合其他告警(如反弹shell、异常登录、恶意软件等高危告警)分析。 如果同主机有反弹shell、异常登录或恶意软件等高危告警,则该主机被攻破,需要立即进行安全排查。 如果此类告警单独出现,无其他高危告警,则优先分析是否为正常业务触发的误报。 暴力破解 暴力破解是指攻击者尝试使用不同的用户名和密码组合来试图获得访问受保护系统的权限。 这种攻击方式通常利用弱密码、易受攻击的认证机制、未更新的软件等安全漏洞,以实现入侵目标系统或获取潜在的敏感信息。 分析告警详情中的攻击源IP: 攻击源IP为外网IP:说明安全组设置不严,请配置安全组规则禁止通过外网IP登录主机,或使用 云堡垒机 (Cloud Bastion Host,CBH)服务。 攻击源IP为内网IP:需要对攻击源IP主机进行安全排查,确认是否为客户业务密码配置错误, 是:请获取正确的用户名和密码登录主机。 否,请对攻击源主机进行网络隔离,并立即进行安全排查。 端口扫描/主机扫描 端口扫描 一种常见的网络侦查技术,攻击者使用特定的工具或程序向目标主机发送数据包,以确定目标主机上开放的端口和正在运行的服务。 主机扫描 指攻击者使用各种工具和技术,对目标主机的操作系统、服务和应用程序等信息进行侦查和枚举,以确定潜在的漏洞和攻击路径。 分析告警详情中的攻击源IP: 攻击源IP为外网IP:表示安全组设置不严,主机关键端口被外网扫描,需要加固网络ACL配置。 攻击源IP为内网IP:分析攻击源IP主机,确认是否为客户正常业务, 是:可视情况进行忽略。 否:请对攻击源主机进行网络隔离,并立即进行安全排查。
-
漏洞描述 Windows CryptoAPI (Crypt32.dll) 验证椭圆曲线加密 (ECC) 证书的方式中存在欺骗漏洞。 攻击者可以通过使用欺骗性的代码签名证书,对恶意可执行文件进行签名来利用此漏洞,从而使该文件看似来自受信任的合法来源,用户将无法知道该文件是恶意文件。例如,攻击者可以通过该漏洞,让勒索木马等软件拥有看似“可信”的签名证书,从而绕过Windows的信任检测机制,误导用户安装。 攻击者还可以利用该漏洞进行中间人攻击,并对有关用户与受影响软件的连接的机密信息进行解密。影响Windows信任关系的一些实例,如用户常见的HTTPS连接、文件签名和电子邮件签名等。
-
修复说明 Linux、Windows漏洞 如下是近两年在攻防演练中被红队利用最频繁且对企业危害较高的系统漏洞,HSS漏洞库支持扫描该漏洞,如果使用HSS扫描时发现该漏洞,请优先排查修复。 Linux DirtyPipe权限提升漏洞(CVE-2022-0847) 如果漏洞影响的软件未启动或启动后无对外开放端口,则实际风险较低,可滞后修复。 应用漏洞 HSS不支持扫描如用友、金蝶等商用软件的漏洞,因此商用软件漏洞您需要自行排查。 如果Web服务器的应用漏洞无法修复,您可以通过配置安全组规则,限制只可内网访问,或使用WAF防护(只能降低风险,通过内网渗透或规则绕过依然有被入侵的风险)。 如下是近两年在攻防演练中被红队利用最频繁且对企业危害较高的应用漏洞,HSS漏洞库支持扫描这些漏洞,如果使用HSS扫描时发现这些漏洞,请优先排查修复。 nginxWebUI远程命令执行漏洞 Nacos反序列化漏洞 Apache RocketMQ命令注入漏洞(CVE-2023-33246) Apache Kafka远程代码执行漏洞(CVE-2023-25194) Weblogic远程代码执行漏洞(CVE-2023-21839) Atlassian Bitbucker Data Center远程代码执行漏洞(CVE-2022-26133) Apache CouchDB远程代码执行漏洞(CVE-2022-24706) F5 BIG-IP命令执行漏洞(CVE-2022-1388) Fastjson 1.2.8反序列化漏洞(CVE-2022-25845) Atlasssian Confluence OGNL注入漏洞(CVE-2022-26134) Apache Log4j2远程代码执行漏洞(CVE-2021-44228)
-
修订记录 发布日期 修改说明 2023-11-17 第九次正式发布。 优化: 勒索病毒防护最佳实践,增加防护配置操作。 2023-10-27 第八次正式发布。 服务中文名称修改为“主机安全服务” 2023-10-10 第七次正式发布。 新增: 通过云 堡垒机 安装主机安全服务的Agent 2023-09-27 第六次正式发布。 优化: 护网或重保场景下HSS的应用实践 2023-08-18 第五次正式发布。 新增: 护网或重保场景下HSS的应用实践 2023-01-18 第四次正式发布。 新增如下: HSS多云纳管部署 勒索病毒防护最佳实践 2022-12-10 第三次正式发布。 修改勒索防护最佳实践。 2022-10-20 第二次正式发布。 新增HSS登录安全加固最佳实践。 2022-05-17 第一次正式发布。
-
被勒索软件攻击的过程 在攻击云基础设施时,攻击者通常会攻击多个资源以试图获取对客户数据或公司机密的访问权限。在勒索攻击链中,攻击者通过事前侦查探测、事中攻击入侵及横向扩散、事后勒索三个步骤实现对企业的资源勒索: 事前侦查探测阶段:收集基础信息、寻找攻击入口,进入环境并建立内部立足点。 事中攻击入侵及横向扩散阶段:部署攻击资源、侦查网络资产并提升访问权限,窃取凭据、植入勒索软件,破坏检测防御机制并扩展感染范围。 事后勒索阶段:窃取机密数据、加密关键数据后加载勒索信息,基于文件重要等级索要赎金。 图1 被勒索过程 父主题: 勒索病毒防护最佳实践
-
应用场景 为了适配用户的全场景工作负载监控,实现云上云下、混合云资源的统一纳管,主机安全推出了华为云和混合云统一管理的安全解决方案。借助主机安全提供的适配能力,通过一个控制台实现一致的安全策略,避免因为不同平台安全水位不一致导致的攻击风险。 华为云解决方案 可将华为云上服务器、数据中心、边缘云与其他线上云在华为云主机安全控制台实现统一管理。 混合云解决方案 可将华为云上服务器、数据中心、边缘云与其他线上云在混合云主机安全控制台实现统一管理。 图1 华为云解决方案 图2 混合云解决方案
-
检测与修复建议 华为云主机安全服务对该漏洞的便捷检测与修复。 检测相关系统的漏洞,并查看漏洞详情,详细的操作步骤请参见查看漏洞详情。 漏洞修复与验证,详细的操作步骤请参见漏洞修复与验证。 图1 手动检测漏洞 检测主机是否开放了“4505”和“4506”端口。 如果检测到开放了“4505”和“4506”端口,建议关闭该端口,或者仅对可信对象开放,详细的操作步骤请参见开放端口检测。 图2 开放端口检测 检测利用此漏洞的挖矿木马,并通过控制台隔离查杀挖矿木马。 隔离查杀挖矿木马,详细操作步骤请参见隔离查杀。 图3 隔离查杀
-
应用场景 主机安全服务(Host Security Service,HSS)是以工作负载为中心的安全产品,集成了主机安全、 容器安全 和网页防篡改,旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。HSS不受地理位置影响,为主机、容器等提供统一的可视化和控制能力。HSS通过对主机、容器进行系统完整性的保护、应用程序控制、行为监控和基于主机的入侵防御等,保护工作负载免受攻击。 本方案介绍在护网、重保场景下HSS应用实践,具体流程如下图所示:
-
计费示例 假设您在2023/04/18 9:59:30为一台主机开启了按需计费企业版HSS防护,然后在2023/04/18 10:45:46关闭防护,则: 第一个计费周期为9:00:00 ~ 10:00:00,在9:59:30 ~ 10:00:00间产生费用,该计费周期内的计费时长为30秒。 第二个计费周期为10:00:00 ~ 11:00:00,在10:00:00 ~ 10:45:46间产生费用,该计费周期内的计费时长为2746秒。 您需要为每个计费周期付费,计费公式如表 计费公式所示。产品价格详情中标出了资源的每小时价格,您需要将每小时价格除以3600,得到每秒价格。 表2 计费公式 资源类型 计费公式 资源单价 配额版本(企业版、容器版) 配额版本单价*计费时长 请参见主机安全服务价格详情中的配额版本单价。 图 按需计费HSS费用计算示例给出了上述示例配置的费用计算过程。 图中价格仅供参考,实际计算请以主机安全服务价格详情中的价格为准。 图1 按需计费主机安全服务费用计算示例
-
计费周期 按需计费主机安全服务资源按秒计费,每一个小时整点结算一次费用(以UTC+8时间为准),结算完毕后进入新的计费周期。 配额版本计费周期: 计费的起点:以开启主机安全服务防护成功的时间点为准。 计费的终点:以关闭主机安全服务防护的时间点为准。 例如,您在8:45:30为一台主机开启了按需计费企业版HSS防护,然后在8:55:00关闭防护,则计费周期为8:00:00 ~ 9:00:00,在8:45:30 ~ 8:55:30间产生费用,该计费周期内的计费时长为600秒。
-
续费相关的功能 包年/包月云主机安全服务配额续费相关的功能如表1所示。 表1 续费相关的功能 功能 说明 手动续费 包年/包月主机安全服务从购买到被自动删除之前,您可以随时在主机安全服务控制台续费,以延长主机安全服务的使用时间。 自动续费 开通自动续费后,主机安全服务会在每次到期前自动续费,避免因忘记手动续费而导致资源被自动删除。 在包年/包月主机安全服务生命周期的不同阶段,您可以根据需要选择一种方式进行续费,具体如图1所示。 图1 主机安全服务生命周期 主机安全服务从购买到到期前,处于正常可用状态,配额状态为“正常”。 到期后,配额状态变为“已过期”。 到期未续费时,主机安全服务首先会进入宽限期,宽限期到期后仍未续费,配额状态变为“已冻结”。 超过宽限期仍未续费将进入保留期,如果保留期内仍未续费,主机安全服务配额及防护配置等资源将被自动删除。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 在主机安全服务配额到期前均可开通自动续费,到期前7日凌晨3:00首次尝试自动续费,如果扣款失败,每天凌晨3:00尝试一次,直至主机安全服务配额到期或者续费成功。到期前7日自动续费扣款是系统默认配置,您也可以根据需要修改此扣款日。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
