华为云用户手册

步骤四：验证数据同步 回到 GaussDB (DWS)管理控制台，重新登录DWS，执行以下语句再次查询表数据，显示结果如下图所示表示全量数据同步成功。 1 SELECT * FROM rds_demo.rds_t1; 切换到RDS管理控制台，登录RDS数据库，向表rds_t1插入新的数据。 1 INSERT INTO rds_t1 VALUES ('5','new_area_name_05',34,64,1003,'2022-11-04'); 切回DWS数据库，执行以下语句查询表数据。 查询结果中新增一条行数据，表示MySQL的更新数据已实时同步到GaussDB(DWS)。 1 SELECT * FROM rds_demo.rds_t1;

使用GIN索引全文检索 当使用GIN索引进行全文搜索时，可以使用tsvector和tsquery数据类型以及相关的函数来实现。 要构建一个tsquery对象，需要使用to_tsquery函数，并提供搜索条件和相应的文本搜索配置（在本例中为english）。还可以使用其他文本搜索函数和操作符来进行更复杂的全文搜索查询，例如plainto_tsquery、ts_rank等。具体的用法取决于实际的需求。 创建articles表，其中列content存储了文章的内容。 1 CREATE TABLE articles (id SERIAL PRIMARY KEY,title VARCHAR(100),content TEXT); 插入数据。 1 2 3 4 5 INSERT INTO articles (title, content) VALUES ('Article 1', 'This is the content of article 1.'), ('Article 2', 'Here is the content for article 2.'), ('Article 3', 'This article discusses various topics.'), ('Article 4', 'The content of the fourth article is different.'); 为content列创建一个辅助列tsvector，该列将存储已处理的文本索引。 1 ALTER TABLE articles ADD COLUMN content_vector tsvector; 更新content_vector列的值，将content列的文本转换为tsvector类型。 1 UPDATE articles SET content_vector = to_tsvector('english', content); 创建GIN索引。 1 CREATE INDEX idx_articles_content_gin ON articles USING GIN (content_vector); 执行全文搜索查询，使用tsquery类型来指定搜索条件。例如，查找包含单词“content”的文章： 1 SELECT * FROM articles WHERE content_vector @@ to_tsquery('english', 'content');

选择分布列 当表的分布方式选择了Hash分布策略时，分布列选取至关重要。在这一步中，建议按照选择分布列选择分布键： 选择各表的主键作为Hash表分布键。 表名 记录数 分布方式 分布键 Store_Sales 287997024 Hash ss_item_sk Date_Dim 73049 Replication - Store 402 Replication - Item 204000 Replication - Time_Dim 86400 Replication - Promotion 1000 Replication - Customer_Demographics 1920800 Hash cd_demo_sk Customer_Address 1000000 Hash ca_address_sk Household_Demographics 7200 Replication - Customer 1981703 Hash c_customer_sk Income_Band 20 Replication -

选择分布方式 依据步骤2：测试初始表结构下的系统性能并建立基线中所基线的各表大小，分布方式设置如下： 表名 行数 分布方式 Store_Sales 287997024 Hash Date_Dim 73049 Replication Store 402 Replication Item 204000 Replication Time_Dim 86400 Replication Promotion 1000 Replication Customer_Demographics 1920800 Hash Customer_Address 1000000 Hash Household_Demographics 7200 Replication Customer 1981703 Hash Income_Band 20 Replication

执行数据导入 创建本地目标表。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 DROP TABLE IF EXISTS product_info; CREATE TABLE product_info ( product_price integer , product_id char(30) , product_time date , product_level char(10) , product_name varchar(200) , product_type1 varchar(20) , product_type2 char(10) , product_monthly_sales_cnt integer , product_comment_time date , product_comment_num integer , product_comment_content varchar(200) ) with ( orientation = column, compression=middle ) DISTRIBUTE BY HASH (product_id); 从外表导入目标表。 1 INSERT INTO product_info SELECT * FROM foreign_product_info; 查询导入结果。 1 SELECT * FROM product_info;

创建外部服务器 使用Data Studio连接已创建好的DWS集群。 新建一个具有创建数据库权限的用户dbuser： 1 CREATE USER dbuser WITH CREATEDB PASSWORD 'password'; 切换为新建的dbuser用户： 1 SET ROLE dbuser PASSWORD 'password'; 创建新的mydatabase数据库： 1 CREATE DATABASE mydatabase; 执行以下步骤切换为连接新建的mydatabase数据库。 在Data Studio客户端的“对象浏览器”窗口，右键单击数据库连接名称，在弹出菜单中单击“刷新”，刷新后就可以看到新建的数据库。 右键单击“mydatabase”数据库名称，在弹出菜单中单击“打开连接”。 右键单击“mydatabase”数据库名称，在弹出菜单中单击“打开新的终端”，即可打开连接到指定数据库的SQL命令窗口，后面的步骤，请全部在该命令窗口中执行。 为dbuser用户授予创建外部服务器的权限，8.1.1及以后版本，还需要授予使用public模式的权限： 1 2 GRANT ALL ON FOREIGN DATA WRAPPER hdfs_fdw TO dbuser; GRANT ALL ON SCHEMA public TO dbuser; //8.1.1及以后版本，普通用户对public模式无权限，需要赋权，8.1.1之前版本不需要执行。 其中FOREIGN DATA WRAPPER的名字只能是hdfs_fdw，dbuser为创建SERVER的用户名。 执行以下命令赋予用户使用外表的权限。 1 ALTER USER dbuser USEFT; 切换回Postgres系统数据库，查询创建 MRS 数据源后系统自动创建的外部服务器。 1 SELECT * FROM pg_foreign_server; 返回结果如： 1 2 3 4 5 6 srvname | srvowner | srvfdw | srvtype | srvversion | srvacl | srvoptions --------------------------------------------------+----------+--------+---------+------------+--------+--------------------------------------------------------------------------------------------------------------------- gsmpp_server | 10 | 13673 | | | | gsmpp_errorinfo_server | 10 | 13678 | | | | hdfs_server_8f79ada0_d998_4026_9020_80d6de2692ca | 16476 | 13685 | | | | {"address=192.168.1.245:9820,192.168.1.218:9820",hdfscfgpath=/MRS/8f79ada0-d998-4026-9020-80d6de2692ca,type=hdfs} (3 rows) 切换到mydatabase数据库，并切换到dbuser用户。 1 SET ROLE dbuser PASSWORD 'password'; 创建外部服务器。 SERVER名字、地址、配置路径保持与8一致即可。 1 2 3 4 5 6 7 CREATE SERVER hdfs_server_8f79ada0_d998_4026_9020_80d6de2692ca FOREIGN DATA WRAPPER HDFS_FDW OPTIONS ( address '192.168.1.245:9820,192.168.1.218:9820', //MRS管理面的Master主备节点的内网IP，可与DWS通讯。 hdfscfgpath '/MRS/8f79ada0-d998-4026-9020-80d6de2692ca', type 'hdfs' ); 查看外部服务器。 1 SELECT * FROM pg_foreign_server WHERE srvname='hdfs_server_8f79ada0_d998_4026_9020_80d6de2692ca'; 返回结果如下所示，表示已经创建成功： 1 2 3 4 srvname | srvowner | srvfdw | srvtype | srvversion | srvacl | srvoptions --------------------------------------------------+----------+--------+---------+------------+--------+--------------------------------------------------------------------------------------------------------------------- hdfs_server_8f79ada0_d998_4026_9020_80d6de2692ca | 16476 | 13685 | | | | {"address=192.168.1.245:9820,192.168.1.218:9820",hdfscfgpath=/MRS/8f79ada0-d998-4026-9020-80d6de2692ca,type=hdfs} (1 row)

创建GaussDB(DWS)集群 参见创建集群进行创建，区域可选择“华北-北京四”。 确保GaussDB(DWS)集群与 CDM 集群在同一区域，同一个VPC下。 参见使用gsql客户端连接集群连接到集群。 创建迁移前数据检查的目标数据库test01和test02，确保与原MySQL的数据库同名，数据库编码一致。 1 2 create database test01 with encoding 'UTF-8' dbcompatibility 'mysql' template template0; create database test02 with encoding 'UTF-8' dbcompatibility 'mysql' template template0;

场景描述 图1 迁移场景 主要包括云上和云下的MySQL数据迁移，支持整库迁移或者单表迁移，本文以云下MySQL的整库迁移为例。 云下MySQL数据迁移： CDM通过公网IP访问MySQL数据库，CDM与GaussDB(DWS)在同一个VPC下，CDM分别与MySQL和DWS建立JDBC连接。 云上RDS-MySQL数据迁移： RDS、CDM和GaussDB(DWS)均在同一个VPC下，CDM分别与MySQL和DWS建立JDBC连接。如果云上RDS与DWS不在一个VPC，则CDM通过弹性公网IP访问RDS。

迁移后数据一致性验证 使用gsql连接DWS的test01集群。 gsql -d test01 -h 数据库主机IP -p 8000 -U dbadmin -W 数据库用户密码 -r; 查询test01库的表。 1 select * from pg_tables where schemaname= 'public'; 图10 查询test01库的表 查询每个表的数据是否齐全，字段是否完整。 1 2 select count(*) from table name; \d+ table name; 图11 查询表字段 图12 查询表数据 抽样检查，验证表数据是否正确。 1 select * from persons where city = ‘Beijing' order by id_p; 图13 验证表数据 重复执行2~4查看其它库和表数据是否正确。

如何使用 企业主机安全 ？ 如使用企业主机安全请按照如下步骤进行操作： 购买防护配额。 安装Agent。 安装Agent后，您才能开启企业主机安全。 设置告警通知。 开启告警通知功能后，您能接收到企业主机安全发送的告警通知，及时了解主机内的安全风险。否则，无论是否有风险，您都只能登录管理控制台自行查看，无法收到报警信息。 开启主机防护 Agent安装成功后，您可以为主机开启安全防护。 开启企业主机安全时，您需为指定的主机分配一个配额，关闭企业主机安全或删除主机后，该配额可被分配给其他的主机使用。 查看检测结果并处理相关风险。 父主题： 产品咨询

升级至企业版/旗舰版操作 企业主机安全的配额版本升级时目标配额版本的“使用状态”必须为“空闲”，因此，升级的操作流程取决于目标配额版本的使用状态。 使用状态为空闲 可直接在防护配额页面直接进行升级操作，操作详情请参见配额版本升级。 使用状态为使用中 需要对目标配额进行解除绑定操作，操作详情请参见解绑配额。 解除绑定后查看目标配额版本的“使用状态”为“空闲”。 执行配额升级操作，操作详情请参见升级至企业版/旗舰版。

升级至HSS（新版）的必要性 后续产品演进，HSS（新版）将完全替换HSS（旧版），届时HSS（旧版）将会下线。 在HSS（新版）中，新增了部分功能以及对部分功能的能力做了大幅度提升，升级后可提升服务器的安全防护能力，大致如下： 表1 HSS（新版）主要功能迭代情况 功能名称 功能描述 功能形态 未防护资产的免费体检 针对未购买HSS防护配额的服务器进行定期免费扫描检测，并提供报告预览。 新增 资产指纹管理 深度扫描服务器中的资产，将资产划分为账号、端口、进程、Web目录、软件信息等不同维度进行统计展示和管理。 新增 资产重要性 您可对名下所有服务器按照服务器资产绑定资产重要性等级，绑定后可按照不同等级的资产进行批量管理，包括但不限于部署策略、开启/关闭防护、分配组、安装Agent，操作详情请参见关联资产重要性。 新增 应用漏洞 漏洞扫描 新增对应用漏洞的扫描，包括检测Web服务、Web框架、Web站点、中间件、内核模块等资产信息存在的漏洞，操作详情请参见查看漏洞详情。 新增 基线报告导出 您可对基线检查的配置检查和经典弱口令检测的结果进行筛选导出。 新增 应用防护 为运行时的应用提供安全防御，您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。包括但不限于对SQL注入、命令注入、反序列化输入、文件遍历、JSP执行操作系统命令等漏洞的扫描检测，操作详情请参见开启应用防护。 新增 Agent安装 支持一键批量安装Agent，操作详情请参见安装Agent。 新增 防护配额管理 支持防护配额版本有低版本直接升级至高版本，操作详情请参见防护配额管理。 新增 基线检查 支持自定义勾选等保合规的基线检测项，生成检测结果，操作详情请参见管理基线检查策略。 新增 告警事件管理 支持对勒索软件、反弹Shell告警的隔离查杀处理。 支持对一般漏洞利用、Redis漏洞利用、Hadoop漏洞利用、MySQL漏洞利用的检测告警。 操作详情请参见告警事件概述。 新增 安全报告 支持自定义报告周期、报告内容、发送时间，操作详情请参见订阅安全报告。 升级 勒索病毒 实时监控全盘新增文件及运行中的进程，动态生成诱饵文件进行主动诱捕，识别勒索软件，同时可自定义策略对服务器进行定期备份，操作详情请参见开启勒索病毒防护。 升级 容器安全 防护 将原有的 容器安全服务 合并至HSS（新版），将服务器负载进行统一管理。 合并

新购服务器时的自动安装 在新购买华为云E CS 时，勾选“开通主机安全防护”，HSS会自动为该ECS安装Agent，并开启防护。 “计费模式”选择的“包年/包月”，您可以选择“基础版”、“企业版”、“旗舰版”和“网页防篡改版”企业主机安全，完成购买后，HSS自动为该ECS开启相应版本的主机防护。 “计费模式”选择的“按需计费”，您可以选择“企业版”企业主机安全，完成购买后，HSS自动为该ECS开启相应版本的主机防护。 如果您选择的企业主机安全配额不满足您的业务需求，您可以购买其他版本配额，获取更高级的防护（不需要重新安装Agent）。各版本企业主机安全配额的差异请参见产品功能。

购买了HSS版本为什么没有生效？ 购买了企业主机安全版本后您还需要做以下操作才可为目标主机开启防护： 安装Agent：为目标主机安装Agent，安装后可实现HSS对数据的监测以及告警的上报，如果已安装可忽略此步骤，安装Agent操作详情请参见安装Agent。 绑定配额：将购买的版本配额绑定至需要防护的服务器，绑定后目标服务器才会开启对应版本支持的防护能力，操作详情请参见开启防护。 开启防护后建议开启告警通知确保在发现告警的第一时间收到通知，同时对服务器进行安全配置，进一步提升服务器的安全性。 父主题： 防护配额

处理方法 在主机上安装Agent成功已超过10分钟，控制台Agent状态仍显示“离线”。 是：请执行2。 否：请您耐心等待Agent上线，无需执行后续操作。安装Agent成功后，不会立即生效，需要等待5-10分钟左右控制台才会刷新状态。 主机的操作系统是否在HSS支持的操作系统及版本范围内。 是：请执行3。 否：企业主机安全的Agent无法正常安装和运行在您的主机上，请升级为企业主机安全支持的操作系统后再尝试安装Agent。 主机网络是否正常。 是：请执行4。 否：请确保您的主机所属安全组出方向设置允许访问100.125.0.0/16网段的10180端口，且主机能正常访问网络。待主机能正常访问网络后，再查看Agent状态。 主机剩余可用内存是否大于300MB。 是：请执行5。 否：主机内存不足将导致Agent离线，请扩充内存容量，容量扩充完成后，Agent将恢复上线。 Agent进程异常，需要重启Agent。 Windows操作系统 以管理员administrator权限登录主机。 打开“任务管理器”。 在“服务”页签选中“HostGuard”。 单击鼠标右键，选择“重新启动”，完成重启Agent。 Linux操作系统 请以root用户在命令行终端执行以下命令，完成重启Agent。 /etc/init.d/hostguard restart 如果回显以下信息，则表示重启成功。 root@HSS-Ubuntu32:~#/etc/init.d/hostguard restart Stopping Hostguard... Hostguard stopped Hostguard restarting... Hostguard is running 重启进程后等待2-3分钟： 如果Agent状态为“在线”，则故障清除。 如果Agent状态仍为“未安装”或者“离线”，请卸载Agent，再重新安装Agent。

HSS与CodeArts Inspector、WAF有什么区别？ 华为云提供的HSS、CodeArts Inspector、WAF服务，帮助您全面从主机、网站、Web应用等层面防御风险和威胁，提升系统安全指数。建议三个服务搭配使用。 表1 HSS、CodeArts Inspector、WAF的区别 服务名称 所属分类 防护对象 功能差异 企业主机安全（HSS） 基础安全 提升主机整体安全性。 资产管理 漏洞管理 检测与响应 基线检查 网页防篡改 漏洞管理服务（CodeArts Inspector） 应用安全 提升网站整体安全性。 多元漏洞检测 网页内容检测 网站健康检测 基线合规检测 Web应用防火墙 （WAF） 应用安全 保护Web应用程序的可用性、安全性。 Web基础防护 CC攻击防护 准确访问防护 父主题： 产品咨询

如何取消主机登录成功的告警通知？ 如果您在“实时告警通知”项目中勾选了“登录成功通知”选项，则任何账户登录成功的事件都会向您实时发送告警信息。 如果您所有ECS上的账户都由个别管理员负责管理，通过该功能可以对系统账户进行严格的监控。 如果系统账户由多人管理，或者不同主机由不同管理员负责管理，那么运维人员可能会因为频繁收到不相关的告警而对运维工作造成困扰，此时建议您登录企业主机安全控制台关闭该告警项。 登录成功并不代表发生了攻击，需要您确认登录IP是否是已知的合法IP。 父主题： 异常登录

服务韧性 HSS提供四层可靠性架构，通过检测、承受、恢复三个方面保障系统在收到攻击后可以手动、自动恢复服务能力，保障服务和数据的持久性和可靠性。 表1 可靠性架构保证数据稳定 能力分类 能力项 目标 分类 检测 态势感知 对接态势感知服务，利用企业主机安全上报的告警/漏洞/基线检查结果评估资产风险 系统 云监控服务 对接 云监控 服务，监控HSS的资源使用情况、业务的运行状况，并及时收到异常报警做出反应，保证业务顺畅运行 系统 承受 防攻击 Agent提供自防护能力，防KILL、防篡改能力 安全 数据备份 支持关键数据100%备份，即使数据库遭到完全损坏，也可以根据以前备份数据恢复业务。 系统 业务自保护 HSS采用微服务化部署，微服务独立部署和启停。 Agent严格控制资源占用，资源超限进行隔离或逃生，不影响租户业务功能，系统可用资源不足降级。 系统 恢复 系统恢复 虚拟机故障/业务系统故障，支持自动重建和手工重建 系统 进程保护 进程退出时，自动拉起微服务进程，保证业务快速恢复。 系统 父主题： 安全

云容器引擎 云容器引擎（Cloud Container Engine，CCE）基于云服务器快速构建高可靠的容器集群，将节点纳管到集群，企业主机安全通过在集群所在节点上部署Hostguard-agent，为集群中所有可用节点上的容器应用提供防护。 云容器引擎提供高可靠、高性能的企业级容器应用管理服务，支持Kubernetes社区原生应用和工具，简化云上自动化容器运行环境搭建。更多信息请参见《云容器引擎用户指南》。

消息通知 服务 消息通知服务（Simple Message Notification，简称 SMN ），是一个可拓展的高性能消息处理服务。 开启告警通知前，您需先配置“消息通知服务”。 开启消息通知服务后，当您的主机遭受攻击或被检测出有高危风险时，您将接收到企业主机安全发送的各项风险告警通知。 在“告警通知”界面，您可以根据运维计划选择“每日告警通知”和“实时告警通知”。 关于SMN的详细内容，请参见《消息通知服务用户指南》。

容器安全 容器镜像安全 即使在Docker Hub下载的官方镜像中也常常包含了漏洞，而研发人员在使用大量开源框架时更加剧了镜像漏洞问题的出现。 容器镜像安全对镜像进行安全扫描，将镜像中存在的各种风险（镜像漏洞、账号、恶意文件等）进行展示，提示用户及时修改，消除安全隐患。 容器运行时安全 通常容器的行为是固定不变的，容器安全服务帮助企业制定容器行为的白名单，确保容器以最小权限运行，有效阻止容器安全风险事件的发生。 满足等保合规 安全计算环境是等保合规的关键项，容器安全服务的核心功能够满足入侵防范与恶意代码防范等保条款，能够协助用户保护容器安全、系统安全。

主机安全 等保合规 主机安全是等保合规的关键项，企业主机安全提供的检测与响应功能，能协助各企业保护企业云服务器账户、系统的安全。 申请等保认证，您需购买企业版及以上（包含企业版、旗舰版、网页防篡改版）版本。 统一安全管理 企业主机安全提供统一的主机安全管理能力，帮助用户更方便地管理云服务器的安全配置和安全事件，降低安全风险和管理成本。 安全风险评估 对主机系统进行安全评估，将系统存在的各种风险（账户、端口、软件漏洞、弱口令等）进行展示，提示用户及时加固，消除安全隐患。 账户安全保护 提供覆盖事前、事中和事后的账户安全保护功能。支持双因子认证登录，防止用户云服务器上的账户遭受暴力破解攻击，提高云服务器的安全性。 主动安全防御 通过清点主机安全资产，管理主机漏洞与不安全配置，预防安全风险；通过网络、应用、文件主动防护引擎主动防御安全风险。 黑客入侵检测 提供主机全攻击路径检测能力，能够实时、准确地感知黑客入侵事件，并提供入侵事件的响应手段，对业务系统“零”影响，有效应对APT攻击等高级威胁。

勒索病毒 勒索病毒，是伴随数字货币兴起的一种新型病毒木马，通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。 一旦遭受勒索病毒攻击，将会使绝大多数的关键文件被加密。被加密的关键文件均无法通过技术手段解密，用户将无法读取原来正常的文件，仅能通过向黑客缴纳高昂的赎金，换取对应的解密私钥才能将被加密的文件无损的还原。黑客通常要求通过数字货币支付赎金，一般无法溯源。 如果关键文件被加密，企业业务将受到严重影响；黑客索要高额赎金，也会带来直接的经济损失，因此，勒索病毒的入侵危害巨大。

主机安全 主机安全是提升主机整体安全性的服务，通过主机管理、风险预防、检测与响应、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在管理控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 主机安全的工作原理如图1所示。 图1 工作原理

免费服务 企业主机安全HSS提供以下两种免费服务： 免费试用HSS基础版30天 购买华为云弹性云服务器（Elastic Cloud Server，ECS）时，可以勾选免费试用一个月主机安全基础版， 免费体验 HSS基础版30天。HSS基础版提供操作系统漏洞检测、弱口令检测、暴力破解检测等功能，具体功能支持详情请参见产品功能。免费试用更多内容，请参见免费试用HSS基础版30天。 免费体检 HSS为未开启防护的华为云弹性云服务器（Elastic Cloud Server，ECS）或华为云云耀云服务器（Hyper Elastic Cloud Server，HECS）提供每月一次的免费体检服务，支持检测服务器的软件资产、操作系统漏洞以及弱口令风险并生成安全报告供用户查看。免费体检更多内容，请参见免费体检。

资源和成本规划 本章节介绍最佳实践中资源规划情况，包含以下内容： 表1 资源说明 资源 资源说明 成本说明 企业主机安全（Host Security Service） 1个HSS旗舰版。防护1台服务器，需要1个HSS旗舰版配额。 HSS具体的计费方式及标准请参考HSS计费说明。 云备份（Cloud Backup and Recovery） 1个云服务器备份存储库。 CBR具体的计费方式及标准请参考CBR计费说明。 父主题： 使用HSS和CBR防御勒索病毒

其他防护建议 若您暂时无法进行升级操作，也可以采用以下方式进行防护： 方式一：使用以下命令禁用credential helper git config --unset credential.helper git config --global --unset credential.helper git config --system --unset credential.helper 方式二：提高警惕避免恶意URL 使用git clone时，检查URL的主机名和用户名中是否存在编码的换行符（%0a）或者凭据协议注入的证据（例如：host=github.com）。 避免将子模块与不受信任的仓库一起使用（不使用clone --recurse-submodules；只有在检查gitmodules中找到url之后，才使用git submodule update）。 请勿对不受信任的URL执行git clone。

告警处理建议 告警类型 说明 处理建议 恶意软件 护网场景下企业主机安全检测出病毒、木马、黑客工具、Webshell类型的恶意软件居多，其中黑客工具类型尤其多，因此请重点关注这些类型的恶意软件告警。 发现恶意软件类告警即表示告警主机大概率被攻破，请按以下方式处理： 立即进行安全排查。 对告警主机进行网络隔离，防止横向扩散。 反弹Shell 反弹shell是攻击机监听在某个TCP/UDP端口为服务端，同时使目标机主动发起请求到攻击机监听的端口，并将其命令行的输入输出转到攻击机。攻击者一般通过漏洞利用获取主机命令执行权限后，建立反弹shell连接，进行下一步的恶意行为。 发现反弹shell告警即表示告警主机大概率被攻破，请分析告警详情中的攻击源IP： 如果攻击源IP是外网IP：可以确定主机被攻破，请对主机进行网络隔离，并立即进行安全排查；同时如果反弹shell执行的命令中包含某一应用路径，则大概率是通过此应用的漏洞入侵，需要分析对应应用是否存在高危漏洞。 如果攻击源IP是内网IP：需要确认此反弹shell是否为客户业务进程，如果不是，需要同时排查告警主机和攻击源主机。 异常登录 异常登录是指使用未经授权的账户或者非正常的时间、地点等方式进行的登录行为，这种行为通常是黑客和攻击者尝试获取系统访问权限或滥用现有权限的一种方式。 确认是否为正常登录行为： 是：通过安全组限制固定IP登录，不允许任意公网IP登录主机。 否：主机已被攻破，请立即进行安全排查。 文件提权/进程提权/文件目录 文件提权 恶意攻击者利用漏洞或错误配置的文件系统权限，获取比其正常权限更高的访问权限的过程。通过文件提权攻击，攻击者可以获取对系统中敏感数据和资源的访问权限，例如加密的密码文件、关键配置文件等，从而实施进一步的攻击。 进程提权 攻击者利用漏洞或错误配置的进程权限，获取比其正常权限更高的访问权限的过程。通过进程提权攻击，攻击者可以获取对系统中敏感数据和资源的访问权限，例如加密的密码文件、关键配置文件等，从而实施进一步的攻击。 文件/目录变更 指系统中对文件和目录的修改、删除、移动等行为，可能会对系统的稳定性、可用性和安全性产生影响。 这类告警一般需要结合其他告警（如反弹shell、异常登录、恶意软件等高危告警）分析。 如果同主机有反弹shell、异常登录或恶意软件等高危告警，则该主机被攻破，需要立刻进行安全排查。 如果此类告警单独出现，无其他高危告警，则优先分析是否为正常业务触发的误报。 高危命令执行告警 HSS预置策略会将strace、rz、tcpdump、nmap、nc、ncat、sz命令识别为高危命令。 这类告警一般需要结合其他告警（如反弹shell、异常登录、恶意软件等高危告警）分析。 如果同主机有反弹shell、异常登录或恶意软件等高危告警，则该主机被攻破，需要立即进行安全排查。 如果此类告警单独出现，无其他高危告警，则优先分析是否为正常业务触发的误报。 暴力破解 暴力破解是指攻击者尝试使用不同的用户名和密码组合来试图获得访问受保护系统的权限。 这种攻击方式通常利用弱密码、易受攻击的认证机制、未更新的软件等安全漏洞，以实现入侵目标系统或获取潜在的敏感信息。 分析告警详情中的攻击源IP： 攻击源IP为外网IP：说明安全组设置不严，请配置安全组规则禁止通过外网IP登录主机，或使用 云堡垒机 （Cloud Bastion Host，CBH）服务。 攻击源IP为内网IP：需要对攻击源IP主机进行安全排查，确认是否为客户业务密码配置错误， 是：请获取正确的用户名和密码登录主机。 否，请对攻击源主机进行网络隔离，并立即进行安全排查。 端口扫描/主机扫描 端口扫描 一种常见的网络侦查技术，攻击者使用特定的工具或程序向目标主机发送数据包，以确定目标主机上开放的端口和正在运行的服务。 主机扫描 指攻击者使用各种工具和技术，对目标主机的操作系统、服务和应用程序等信息进行侦查和枚举，以确定潜在的漏洞和攻击路径。 分析告警详情中的攻击源IP： 攻击源IP为外网IP：表示安全组设置不严，主机关键端口被外网扫描，需要加固网络ACL配置。 攻击源IP为内网IP：分析攻击源IP主机，确认是否为客户正常业务， 是：可视情况进行忽略。 否：请对攻击源主机进行网络隔离，并立即进行安全排查。

漏洞描述 Windows CryptoAPI (Crypt32.dll) 验证椭圆曲线加密 (ECC) 证书的方式中存在欺骗漏洞。 攻击者可以通过使用欺骗性的代码签名证书，对恶意可执行文件进行签名来利用此漏洞，从而使该文件看似来自受信任的合法来源，用户将无法知道该文件是恶意文件。例如，攻击者可以通过该漏洞，让勒索木马等软件拥有看似“可信”的签名证书，从而绕过Windows的信任检测机制，误导用户安装。 攻击者还可以利用该漏洞进行中间人攻击，并对有关用户与受影响软件的连接的机密信息进行解密。影响Windows信任关系的一些实例，如用户常见的HTTPS连接、文件签名和电子邮件签名等。

修复说明 Linux、Windows漏洞 如下是近两年在攻防演练中被红队利用最频繁且对企业危害较高的系统漏洞，HSS漏洞库支持扫描该漏洞，如果使用HSS扫描时发现该漏洞，请优先排查修复。 Linux DirtyPipe权限提升漏洞（CVE-2022-0847） 如果漏洞影响的软件未启动或启动后无对外开放端口，则实际风险较低，可滞后修复。 应用漏洞 HSS不支持扫描如用友、金蝶等商用软件的漏洞，因此商用软件漏洞您需要自行排查。 如果Web服务器的应用漏洞无法修复，您可以通过配置安全组规则，限制只可内网访问，或使用WAF防护（只能降低风险，通过内网渗透或规则绕过依然有被入侵的风险）。 如下是近两年在攻防演练中被红队利用最频繁且对企业危害较高的应用漏洞，HSS漏洞库支持扫描这些漏洞，如果使用HSS扫描时发现这些漏洞，请优先排查修复。 nginxWebUI远程命令执行漏洞 Nacos反序列化漏洞 Apache RocketMQ命令注入漏洞（CVE-2023-33246） Apache Kafka远程代码执行漏洞（CVE-2023-25194） Weblogic远程代码执行漏洞（CVE-2023-21839） Atlassian Bitbucker Data Center远程代码执行漏洞（CVE-2022-26133） Apache CouchDB远程代码执行漏洞（CVE-2022-24706） F5 BIG-IP命令执行漏洞（CVE-2022-1388） Fastjson 1.2.8反序列化漏洞（CVE-2022-25845） Atlasssian Confluence OGNL注入漏洞（CVE-2022-26134） Apache Log4j2远程代码执行漏洞（CVE-2021-44228）