检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
排查过程 本章节介绍Linux操作系统中主机安全排查的具体过程。 操作步骤 查看主机是否存在异常进程。 查询命令:top 根据CPU占用率、进程名称等判断是否存在异常进程,如下可疑进程CPU占用率超过100%。 根据异常进程PID值,查看文件位置。 查询命令:lsof -p+进程PID值(如25267)
Linux主机安全加固建议 设置所有OS系统口令(包括管理员和普通用户)、数据库账号口令、应用(WEB)系统管理账号口令为强口令,密码12位以上。强口令设置请参见账户密码最佳实践。 将主机登录方式设置为密钥登录。密钥登录设置请参见主机密码被暴力破解的解决方案。 应用程序不以管理员
主机安全排查(Linux操作系统) 排查思路 排查过程 Linux主机安全加固建议 父主题: 主机安全排查
排查思路 Linux主机排查主要分为用户和应用两部分。 用户:通过进程、网络进行分析,查看运行进程的用户。对用户家目录下的用户名目录进行排查是否存在异常文件,是否存在异常登录或暴力破解。 应用:查看进程所属应用,应用的目录下是否有异常文件。 父主题: 主机安全排查(Linux操作系统)
排查过程 方案一:工具溯源排查 方案二:DOS系统命令排查 Windows主机安全加固建议 父主题: 主机安全排查(Windows操作系统)
"DR" 查找C盘下,包含“exe”的文件和目录:dir /s C: | findstr "exe" 操作步骤 查看是否存在异常进程。 查询命令:tasklist 根据查询结果排除系统进程或业务应用进程,锁定异常进程。 查看网络分析,是否存在异常的IP链接主机。 查询命令:netstat
双击“procexp64.exe”文件。 图1 processExplorer 在弹出的对话框中,单击“Agree”,查看进程信息,在线排查进程。 图2 查看当前进程 在上方的菜单栏中,选择“Options > VirusTotal.com”,勾选“Check VirusTotal
步骤2:自启动分析 该章节为您介绍如何通过Autoruns工具查看哪些程序被配置为在系统启动和登录时自动启动。 前提条件 推荐下载“Autoruns”工具。 操作步骤 打开“Autoruns”文件夹,双击“Autoruns.exe”文件。 图1 打开AutoRuns文件夹 在弹出的对话框中,单击“Agree”。
方案一:工具溯源排查 步骤1:进程分析 步骤2:自启动分析 步骤3:网络分析 步骤4:异常用户分析 父主题: 排查过程
该章节为您介绍如何通过TCPView工具查看当前TCP连接状态,排查可疑进程,可疑进程一般用红色标记。 前提条件 推荐下载“TCPView”工具。 操作步骤 打开“TCPView”文件夹,双击“Tcpview.exe”文件,在弹出的对话框中,单击“Agree”。 查看当前TCP连接状态,判断该进程是否为木马程序。
wd。 定期更换口令。 口令中不建议出现huawei字样或者带有键盘特征(例如:123qwe!@#,passwd)的密码。 父主题: 排查过程
该章节为您介绍如何分析异常用户。 操作步骤 打开“控制面板 > 管理工具 > 计算机管理”。 在左侧导航树中,选择“本地用户和组 > 用户”,查看主机是否存在异常用户。 在左侧导航树中,选择“本地用户和组 > 组”,检测组是否存在异常。 检测主机内的异常用户目录下是否存在异常文件(非系统和业务部署创建的文件)。
其中,挖矿是指通过大量计算机运算获取数字货币-虚拟货币奖励的过程。恶意挖矿攻击就是在用户不知情或未经允许的情况下,占用受害者的系统资源和网络资源进行挖矿,从而获取加密货币牟利。 肉鸡也称傀儡机,是指可以被黑客远程控制的机器。肉鸡可以是各种系统,如Windows、Linux、Unix等,更可以是一家公司、企业、学校甚至是政府军队的服务器。
主机安全排查 主机面临的安全问题 主机安全排查(Windows操作系统) 主机安全排查(Linux操作系统)
Apache Cassandra TCP:512-514 Linux rexec(远程登录) TCP:7778 Kloxo(虚拟主机管理系统) TCP:873 Rsync(数据镜像备份工具) TCP:8000 Ajenti(Linux服务器管理面板) TCP:1194 OpenVPN(虚拟专用通道)
如下为主机被勒索的几个案例: 案例一:Windows主机文件加密,主机内存在勒索信条 案例二:Windows主机文件加密,主机内文件被添加后缀 案例三:Linux主机文件加密,主机文件被添加后缀 父主题: 主机面临的安全问题
以下为主机被端口扫描攻击的几个案例: 案例一: 此机器正在对外大量扫描6379端口,示例如图1所示。 图1 端口扫描 查询发现这些IP地址均为境外IP。 案例二: 主机内发现异常进程,如图2所示。 图2 异常进程 查询发现此IP地址连接C&C。 C&C是指command-and-control命令与控制。简
主机安全排查(Windows操作系统) 排查思路 排查过程 父主题: 主机安全排查
整改建议 针对不同的投诉类型,华为云会实施不同的风险遏制措施。 您可以打开反垃圾邮件组织地址,输入您的IP,单击“Start Testing”,查询有无IP记录,判断是否为反垃圾邮件组织的投诉,如图 反垃圾邮件组织所示,然后做出对应情况的处理。 图1 反垃圾邮件组织 如果页面未显示任何
本例中,该服务器正常运行情况下每秒发送10个长度为800Byte的UDP数据包。 执行以下命令,查看当前的网络连接与进程。 netstat -anput 分析当前的网络连接与进程是否存在异常,建议利用netstat -anpt命令进行查看;若当前连接与进程已停止或被隐藏,可以利用抓包方式进行分析,需要安装tcpdump抓包工具。