检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
长期潜伏的高级间谍“APT攻击”如何破? 父主题: 知识科普
y_handle_at”、“ptrace”、“setns”、“reboot”等),触发高危系统调用告警。 高危命令执行 实时检测容器系统中执行的高危命令,当发生高危命令执行时触发告警。 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹,如果特征与
From user; 部分MySQL数据库版本可能不支持以上查询命令。 若执行以上命令没有获取到用户密码信息,请执行命令。 SELECT user, host password From user; 执行以下命令,根据查询结果及弱密码告警信息,修改具体用户的密码。 SET PASSWORD
见通过命令行为华为云主机安装Agent。 不存在 表示网络未打通,您可以按如下方式打通网络: 自动打通:返回企业主机安全控制台,重新执行安装主机安全Agent的操作,在“选择打通网络服务器”步骤,选中目标服务器,企业主机安全会自动为您打通服务器网络。详细操作请参见通过命令行为华为云主机安装Agent。
HSS的病毒库、漏洞库多久更新一次? HSS拦截的IP是否需要处理? 如何防御勒索病毒攻击? 升级HSS新版后,为什么收不到告警? 如何为高危命令执行类告警添加白名单? 为什么部分Webshell文件HSS不告警?
定位恶意软件。 自启动项取证信息:当告警事件含自启动项信息时,调查取证栏目会展示自启动项取证信息。自启动项取证信息包含用户、命令、自启动项信息、进程文件命令行等信息。您可以根据这些信息定位自启动项。 内核取证信息:当告警事件含内核信息时,调查取证栏目会展示内核取证信息。内核取证信
账户被暴力破解,怎么办? 如果您的主机被暴力破解成功,攻击者很可能已经入侵并登录您的主机,窃取用户数据、勒索加密、植入挖矿程序、DDoS木马攻击等恶意操作。 如果您的主机被尝试暴力破解,攻击源IP被HSS拦截,请及时采取有效的措施预防账户暴力破解事件。 排查思路 以下排查思路按照
代理服务器的CPU架构需要选择x86计算。 代理服务器的vCPUs需选择4vCPUs或以上规格,内存需选择8GiB或以上规格。 代理服务器的镜像需选择:可使用yum命令的Linux镜像;推荐使用HCE镜像。 创建代理服务器 登录控制台,进入购买弹性云服务器页面。 在购买弹性云服务页面,设置购买参数。 CPU架构:此处示例选择“x86计算”。
定位恶意软件。 自启动项取证信息:当告警事件含自启动项信息时,调查取证栏目会展示自启动项取证信息。自启动项取证信息包含用户、命令、自启动项信息、进程文件命令行等信息。您可以根据这些信息定位自启动项。 内核取证信息:当告警事件含内核信息时,调查取证栏目会展示内核取证信息。内核取证信
等)连接您服务器的弹性IP,远程登录到您的服务器。 在命令窗口执行关闭命令。 临时关闭 在命令窗口执行以下命令临时关闭SELinux。 setenforce 0 在重启系统后将恢复开启状态。 永久关闭 在目录窗口执行以下命令,编辑SELinux的config文件。 vi /etc/selinux/config
图2 认证字符 在任意目录执行如下命令,卸载Agent。 不可以在/usr/local/hostguard/目录下执行卸载命令,可以在其他任意目录下执行卸载命令。 针对EulerOS、CentOS、Red Hat等支持rpm安装软件的OS,执行命令:rpm -e hostguard
以“华北-北京一”为例,完整命令示例:curl -kv https://hss-agent.cn-north-1.myhuaweicloud.com:10180 已放通:ping命令执行正常,表示已放通100.125.0.0/16网段的10180端口,请执行5继续排查问题。 未放通:ping命令执行后,界面卡住不动,表示未放通100
From user; 部分MySQL数据库版本可能不支持以上查询命令。 如果执行以上命令没有获取到用户密码信息,请执行命令。 SELECT user, host password From user; 执行以下命令,根据查询结果及弱密码告警信息,修改具体用户的密码。 SET PASSWORD
请求、使用Windows Defender下载负载、Windows远程命令执行、Log4shell漏洞执行、可疑的计划任务操作、可疑的Windows命令执行、Windows入侵工具传输、可疑的反弹shell命令、执行远程可疑脚本、可疑的软件安装、perl反弹shell、awk反弹
本地镜像:镜像名称:版本 远程镜像:组织名称/镜像名称:版本 - 信息配置完成,单击“生成命令”,生成镜像安全扫描插件配置命令。 图6 生成命令 单击“复制命令”,如图7所示。 图7 复制命令 登录Jenkins工具。 在总览页面,单击目标Jenkins-Pipeline模式的项目名称,进入项目详情页面。
在“容器资产接入与安装”对话框中,单击“复制镜像上传命令”,复制命令,并在集群节点上执行该命令。 图5 复制镜像上传命令 命令执行后界面回显如图 镜像仓上传成功所示,表示上传成功。 图6 镜像仓上传成功 单击“下一步”。 配置集群接入信息,并单击“生成命令”。接入信息相关参数说明如表 配置接入信息参数说明所示。
√ √ √ √ 系统日志删除 检测到通过命令或工具清除系统日志的操作时进行告警。 支持的操作系统:Windows。 检测周期:实时检测。 × × √ √ √ × 可疑命令执行 检测通过命令或工具创建、删除计划任务或自启动任务。 检测远程执行命令的可疑行为。 支持的操作系统:Linux、Windows。
服务器ip process_id String 进程ID process_name String 进程名称 process_cmd String 进程命令行 请求示例 查询主机静态网页防篡改防护动态,目标主机ID为caa958ad-a481-4d46-b51e-6861b8864
当URL中包含经过编码的换行符(%0a)时,可能将非预期的值注入到credential helper的协议流中。受影响Git版本对恶意URL执行git clone命令时,会触发此漏洞,攻击者可利用恶意URL欺骗Git客户端发送主机凭据。 漏洞编号 CVE-2020-5260 漏洞名称 Git用户凭证泄露漏洞
创建VPC终端节点,用于实现第三方服务器通过华为云内网访问HSS。 获取项目ID 获取VPC终端节点所在的项目ID,用于制作安装命令。 制作Agent安装包或安装命令 根据第三方服务器操作系统类型制作对应的安装命令(Linux)或安装包(Windows)。 为第三方服务器安装Agent 为第三方服务器安装Age
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
