检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
files\internet explorer\plugin”、“c:\program files\common files\miscrosoft shared”-临时文件夹。 查看windows主机登录日志(登录成功事件ID:4624),排查主机是否存在异常登录情况。 打开“计算机管理”,选择“系统工具
Path”列是否存在异常文件(非系统和正常业务部署创建文件)。 如果发现可疑进程,双击该进程名,可直接定位到注册表位置。可以在“Filter”中过滤可疑进程的名字。 图3 打开注册表编辑器 父主题: 方案一:工具溯源排查
云数据库服务RDS具有完善的性能监控体系和多重安全防护措施,并提供了专业的数据库管理平台,让用户能够在云上轻松的进行设置和扩展云数据库。通过云数据库RDS服务的管理控制台,用户无需编程就可以执行所有必需任务,简化运营流程,减少日常运维工作量,从而专注于开发应用和业务发展。 应用中间件
查询文件中是否存在异常地址:strings +文件名(如config.json)+ |grep xmr 建议重点排查以下目录:/etc为配置文件、/tmp为临时文件、/bin为可执行文件。 用户命令;用到的库文件可能在/lib,配置文件可能在/etc,/sbin为可执行文件。 管理命令;用到的库文
设置所有OS系统口令(包括管理员和普通用户)、数据库账号口令、应用(WEB)系统管理账号口令为强口令,密码12位以上。强口令设置请参见账户密码最佳实践。 将主机登录方式设置为密钥登录。密钥登录设置请参见主机密码被暴力破解的解决方案。 应用程序不以管理员权限账号运行,应用程序(如Web)不使用数据库管理员权限账号
FA、短信或邮件验证,再次确认登录者身份,可以进一步提高账号安全性,有效避免钓鱼式攻击或者用户密码意外泄露。 为账号开启登录保护,如表1所示。 表1 用户角色 用户角色 操作指导 华为账号 进入华为帐号中心。选择“帐号与安全 > 安全验证 > 双重验证”,单击“开启”。 华为云账号
高危端口(135,139,445),或限制允许访问端口的源IP。 应用程序不要以管理员权限账号运行,应用程序(如Web)不使用数据库管理员权限账号与数据库交互。 业务数据定期异地备份,避免黑客入侵主机造成数据丢失。 定期检测系统和软件中的安全漏洞,及时更新系统安全补丁,将软件版本升级到官方最新版本。
排查方法 本章节内容主要指导您:排查主机是否被作为UDP反射攻击的“放大器”利用。 使用root账户登录服务器。 本例中,该服务器正常运行情况下每秒发送10个长度为800Byte的UDP数据包。 执行以下命令,查看当前的网络连接与进程。 netstat -anput 分析当前的网
方案一:工具取证排查(推荐):使用Windows官方的进程/链接/自启动分析工具进行排查。 使用工具取证排查方案时,建议如下软件工具: 表1 软件工具 工具名称 下载地址 ProcessExplorer https://docs.microsoft.com/zh-cn/sysi
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
