检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
方案一:工具溯源排查 步骤1:进程分析 步骤2:自启动分析 步骤3:网络分析 步骤4:异常用户分析 父主题: 排查过程
步骤2:自启动分析 该章节为您介绍如何通过Autoruns工具查看哪些程序被配置为在系统启动和登录时自动启动。 前提条件 推荐下载“Autoruns”工具。 操作步骤 打开“Autoruns”文件夹,双击“Autoruns.exe”文件。 图1 打开AutoRuns文件夹 在弹出的对话框中,单击“Agree”。
步骤3:网络分析 该章节为您介绍如何通过TCPView工具查看当前TCP连接状态,排查可疑进程,可疑进程一般用红色标记。 前提条件 推荐下载“TCPView”工具。 操作步骤 打开“TCPView”文件夹,双击“Tcpview.exe”文件,在弹出的对话框中,单击“Agree”。
件夹,双击“procexp64.exe”文件。 图1 processExplorer 在弹出的对话框中,单击“Agree”,查看进程信息,在线排查进程。 图2 查看当前进程 在上方的菜单栏中,选择“Options > VirusTotal.com”,勾选“Check VirusTotal
步骤4:异常用户分析 该章节为您介绍如何分析异常用户。 操作步骤 打开“控制面板 > 管理工具 > 计算机管理”。 在左侧导航树中,选择“本地用户和组 > 用户”,查看主机是否存在异常用户。 在左侧导航树中,选择“本地用户和组 > 组”,检测组是否存在异常。 检测主机内的异常用户
查看网络分析,是否存在异常的IP链接主机。 查询命令:netstat –ano 根据查询结果排除业务连接端口或业务外部地址连接,锁定可疑地址。 使用微步在线确认可疑地址是否属于恶意或非正常业务的海外地址。 通过异常连接的“PID”,通过值(如2240)在步骤 1的查询结果找到进程(如vchost
云数据库服务RDS具有完善的性能监控体系和多重安全防护措施,并提供了专业的数据库管理平台,让用户能够在云上轻松的进行设置和扩展云数据库。通过云数据库RDS服务的管理控制台,用户无需编程就可以执行所有必需任务,简化运营流程,减少日常运维工作量,从而专注于开发应用和业务发展。 应用中间件
本文档为您介绍两种Windows主机排查方法,推荐选择“工具溯源排查”的方法: 方案一:工具取证排查(推荐):使用Windows官方的进程/链接/自启动分析工具进行排查。 使用工具取证排查方案时,建议如下软件工具: 表1 软件工具 工具名称 下载地址 ProcessExplorer https://docs
排查过程 方案一:工具溯源排查 方案二:DOS系统命令排查 Windows主机安全加固建议 父主题: 主机安全排查(Windows操作系统)
设置所有OS系统口令(包括管理员和普通用户)、数据库账号口令、应用(WEB)系统管理账号口令为强口令,密码12位以上。强口令设置请参见账户密码最佳实践。 将主机登录方式设置为密钥登录。密钥登录设置请参见主机密码被暴力破解的解决方案。 应用程序不以管理员权限账号运行,应用程序(如Web)不使用数据库管理员权限账号
分析当前的网络连接与进程是否存在异常,建议利用netstat -anpt命令进行查看;若当前连接与进程已停止或被隐藏,可以利用抓包方式进行分析,需要安装tcpdump抓包工具。 执行以下命令抓包,分析UDP流量攻击。 tcpdump -nn udp 抓包结果如图1显示。 图1 UDP对外攻击数据包 执行以下命令
高危端口(135,139,445),或限制允许访问端口的源IP。 应用程序不要以管理员权限账号运行,应用程序(如Web)不使用数据库管理员权限账号与数据库交互。 业务数据定期异地备份,避免黑客入侵主机造成数据丢失。 定期检测系统和软件中的安全漏洞,及时更新系统安全补丁,将软件版本升级到官方最新版本。
内容包含欺骗性信息的电子邮件。 内容违反法律法规的电子邮件。 携带有病毒等有害信息的电子邮件。 垃圾邮件有哪些危害? 电子邮件是当今社会的重要沟通工具之一,如果垃圾邮件泛滥将会对社会的稳定与发展产生严重影响: 降低通信质量:垃圾邮件占用大量网络带宽,影响网络传输速度,容易造成邮件服务器堵塞。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
