检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
端口扫描攻击是一种攻击方式,攻击者将请求发送到目标服务器或工作站的IP地址,以发现主机开放的端口,并利用端口对应程序中的漏洞进行攻击。 案例 以下为主机被端口扫描攻击的几个案例: 案例一: 此机器正在对外大量扫描6379端口,示例如图1所示。 图1 端口扫描 查询发现这些IP地址均为境外IP。 案例二: 主机内发现异常进程,如图2所示。
查看网络分析,是否存在异常的IP链接主机。 查询命令:netstat –ano 根据查询结果排除业务连接端口或业务外部地址连接,锁定可疑地址。 使用微步在线确认可疑地址是否属于恶意或非正常业务的海外地址。 通过异常连接的“PID”,通过值(如2240)在步骤 1的查询结果找到进程(如vchost.exe)。
或“删除”。 图3 安全组高危端口策略设置 若不需要对外开放,建议您删除对应策略。 若需要对外指定“源地址”开放,建议您修改对应策略的“源地址”为“IP白名单内的地址”,可参考仅允许特定IP地址远程连接弹性云服务器。 不建议您对所有IP地址开放高危端口策略。 在左侧导航树中,选择“访问控制
Linux主机安全加固建议 设置所有OS系统口令(包括管理员和普通用户)、数据库账号口令、应用(WEB)系统管理账号口令为强口令,密码12位以上。强口令设置请参见账户密码最佳实践。 将主机登录方式设置为密钥登录。密钥登录设置请参见主机密码被暴力破解的解决方案。 应用程序不以管理员
指定人员验证:账号及IAM用户触发的敏感操作均由指定人员进行验证。支持手机号、邮件地址,不支持虚拟MFA验证。 图5 敏感操作保护设置 单击“确定”,开启操作保护。 设置登录验证策略 设置登录验证策略,例如会话超时、账号锁定策略、最近登录提示、登录验证提示,可以进一步提高账号
请勿使用默认账户默认密码或弱密码。 设置所有OS系统口令(包括管理员和普通用户)、数据库账号口令、WEB应用系统管理账号口令为强口令 ,密码12位以上。 提升安全性的方法: 不使用空口令或系统缺省的口令,因为这些口令很容易被攻击者进入甚至不需要任何成本,为典型的弱口令。 设置高长度&高复杂度字符口令。
pcap|awk -F'.' '{print $1}'|sort|uniq -c 图2 抓包分析结果 根据步骤3可知,图中被检查的设备正在对另一个IP地址发送数十个UDP长度为1460Byte的数据包,明显超出正常业务数据包的范畴,说明该设备正在被利用为UDP反射攻击的“放大器”对外攻击。
垃圾邮件的定义及危害 什么是垃圾邮件? 垃圾邮件是指未经收件人允许而强行发送的电子邮件,以下是垃圾邮件的一些常见特征: 不显示标题、发件人身份或地址的电子邮件。 主题或内容包含虚假信息的电子邮件。 内容包含欺骗性信息的电子邮件。 内容违反法律法规的电子邮件。 携带有病毒等有害信息的电子邮件。
方案一:工具取证排查(推荐):使用Windows官方的进程/链接/自启动分析工具进行排查。 使用工具取证排查方案时,建议如下软件工具: 表1 软件工具 工具名称 下载地址 ProcessExplorer https://docs.microsoft.com/zh-cn/sysinternals/downlo
-p+进程PID值(如25267) 发现目录下的异常文件(带有xmr或mine的标识)。 查看文件命令:ll -art 查询木马路径:pwd 查询文件中是否存在异常地址:strings +文件名(如config.json)+ |grep xmr 建议重点排查以下目录:/etc为配置文件、/tmp为临时文件、/bin为可执行文件。
基于UDP报文的反射DDoS攻击是这类攻击的一种实现形式,如图1所示。攻击者并不是直接发起对攻击目标的攻击,而是利用互联网的某些服务开放的服务器,通过伪造被攻击者的地址,向中间服务器发送基于UDP服务的特殊请求报文,而这些请求报文会形成成倍的数据发送到攻击目标,从而对后者间接形成DDoS攻击。 图1 UDP反射放大原理图
反垃圾邮件组织已将您的IP列入黑名单,会限制绑定该IP地址的主机访问网站和对外发送邮件,请您尽快停止使用该IP地址的主机发送垃圾邮件,并对邮箱做好防护。 被反垃圾邮件组织拉黑,将严重损害华为云的服务形象,华为云将永久冻结您的IP且无法解冻。请重新绑定新的IP地址使用。 父主题: 对外发送垃圾邮件处置说明
对文件进行分析,发现矿池信息,URL进行检测为矿池。 案例二: Windows主机存在挖矿进程。 主机内发现异常文件。 对文件进行分析,发现矿池信息。 检测URL为恶意矿池地址。 父主题: 主机面临的安全问题
st中包含mine,pool,xmr等关键字,该进程疑似被感染病毒。 (仅供参考)您可以通过安全检测网站,检测外网远程地址或者URL进行在线查询判断。 检测地址:https://x.threatbook.cn/ 微步检测IP:需要检测的网站IP。 父主题: 方案一:工具溯源排查
解决方案&防护措施 针对UDP反射放大攻击方式,您可根据业务的实际情况做出应对措施,下面提出几点建议性防护措施,供您参考。 关注网络安全防护设备和服务厂商发布的最新安全公告,及时对此类攻击做出针对性防护策略。 云服务器内通过防火墙对UDP端口进行限制。 通过安全组对UDP端口进行
勒索 什么是勒索病毒 勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。一旦遭受勒索病毒攻击,将会使绝大多数的关键文件被加密。被加密的关键文件无法通过技术手段解密,用户将无法读取资产中的文件,即使向黑客缴纳高昂的赎金