检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
UDP反射放大攻击安全排查 简介 排查方法 解决方案&防护措施
Management Console TCP:8080 DisConf(分布式配置管理平台) TCP:60010、60030 HBase TCP: 8888 Spring Cloud Config(分布式配置中心) TCP: 3000 Grafana(数据可视化) TCP: 8761
步骤2:自启动分析 该章节为您介绍如何通过Autoruns工具查看哪些程序被配置为在系统启动和登录时自动启动。 前提条件 推荐下载“Autoruns”工具。 操作步骤 打开“Autoruns”文件夹,双击“Autoruns.exe”文件。 图1 打开AutoRuns文件夹 在弹出的对话框中,单击“Agree”。
对外发送垃圾邮件处置说明 垃圾邮件的定义及危害 华为云对发送垃圾邮件的用户资源的处理
业务数据定期异地备份,避免黑客入侵主机造成数据丢失。 定期检测系统和软件中的安全漏洞,及时更新系统安全补丁,将软件版本升级到官方最新版本。 建议从官方渠道下载安装软件,对非官方渠道下载的软件,建议使用杀毒软件扫描后再运行。 为彻查主机和应用方面潜在的安全风险,建议使用华为云官方提供的管理检测与响应服
告,及时对此类攻击做出针对性防护策略。 云服务器内通过防火墙对UDP端口进行限制。 通过安全组对UDP端口进行限制,华为云用户可参见ECS配置安全组规则。 启动绑定本地监听IP,禁止对外访问、禁用UDP协议、启用登录认证。 调整应用程序中的一些参数,并且重启服务器达成禁用UDP的效果。
方案一:工具溯源排查 步骤1:进程分析 步骤2:自启动分析 步骤3:网络分析 步骤4:异常用户分析 父主题: 排查过程
主机安全排查(Linux操作系统) 排查思路 排查过程 Linux主机安全加固建议 父主题: 主机安全排查
分析当前的网络连接与进程是否存在异常,建议利用netstat -anpt命令进行查看;若当前连接与进程已停止或被隐藏,可以利用抓包方式进行分析,需要安装tcpdump抓包工具。 执行以下命令抓包,分析UDP流量攻击。 tcpdump -nn udp 抓包结果如图1显示。 图1 UDP对外攻击数据包
|grep xmr 建议重点排查以下目录:/etc为配置文件、/tmp为临时文件、/bin为可执行文件。 用户命令;用到的库文件可能在/lib,配置文件可能在/etc,/sbin为可执行文件。 管理命令;用到的库文件可能在/lib,配置文件可能在/etc,/usr/为只读文件,shared
主机安全排查 主机面临的安全问题 主机安全排查(Windows操作系统) 主机安全排查(Linux操作系统)
业务数据定期异地备份,避免黑客入侵主机造成数据丢失。 定期检测系统和软件中的安全漏洞,及时更新系统安全补丁,将软件版本升级到官方最新版本。 建议从官方渠道下载安装软件,对非官方渠道下载的软件,建议使用杀毒软件扫描后再运行。 不随意点开不明邮件链接或者网页链接。 请勿使用默认账户默认密码或弱密码。 设
排查过程 方案一:工具溯源排查 方案二:DOS系统命令排查 Windows主机安全加固建议 父主题: 主机安全排查(Windows操作系统)
主机安全排查(Windows操作系统) 排查思路 排查过程 父主题: 主机安全排查
在左侧导航树中,选择“本地用户和组 > 组”,检测组是否存在异常。 检测主机内的异常用户目录下是否存在异常文件(非系统和业务部署创建的文件)。 对异常文件分析,是否为正常业务部署创建的文件,或者通过杀毒软件对文件进行安全检测。 父主题: 方案一:工具溯源排查
主机面临的安全问题 概述 对外攻击:端口扫描 挖矿 勒索 父主题: 主机安全排查
号安全性,避免账号忘记退出或钓鱼式攻击带来的用户密码意外泄露。 管理员进入安全设置。 选择“登录验证策略”,按照下图策略进行配置。 图6 登录验证策略配置图 用户可自行修改“登录验证提示”的自定义验证消息。 设置密码策略 设置密码策略,例如密码最小长度、密码中同一字符连续出现的最
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
