检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
主机安全排查(Windows操作系统) 排查思路 排查过程 父主题: 主机安全排查
Windows主机安全加固建议 设置安全组,仅向公网开放必要端口,业务WEB控制台端口、局域网内部通信端口避免暴露在公网。关闭高危端口(135,139,445),或限制允许访问端口的源IP。 应用程序不要以管理员权限账号运行,应用程序(如Web)不使用数据库管理员权限账号与数据库交互。
方案一:工具溯源排查 步骤1:进程分析 步骤2:自启动分析 步骤3:网络分析 步骤4:异常用户分析 父主题: 排查过程
files\miscrosoft shared”-临时文件夹。 查看windows主机登录日志(登录成功事件ID:4624),排查主机是否存在异常登录情况。 打开“计算机管理”,选择“系统工具 > 事件查看器 > Windows 日志 > 安全”,单击右侧“筛选当前日志”。 填写“包括/排除事件
主机安全排查(Linux操作系统) 排查思路 排查过程 Linux主机安全加固建议 父主题: 主机安全排查
主机安全排查 主机面临的安全问题 主机安全排查(Windows操作系统) 主机安全排查(Linux操作系统)
步骤3:网络分析 该章节为您介绍如何通过TCPView工具查看当前TCP连接状态,排查可疑进程,可疑进程一般用红色标记。 前提条件 推荐下载“TCPView”工具。 操作步骤 打开“TCPView”文件夹,双击“Tcpview.exe”文件,在弹出的对话框中,单击“Agree”。
Explore-Sysinternals 检查“VirusTotal”值,右键单击进程名称,选择“Properties”,在弹出的页面中,单击“Image”可查看进程路径,进而再次判断该进程是否是木马程序。 图5 判断是否为木马程序 父主题: 方案一:工具溯源排查
步骤2:自启动分析 该章节为您介绍如何通过Autoruns工具查看哪些程序被配置为在系统启动和登录时自动启动。 前提条件 推荐下载“Autoruns”工具。 操作步骤 打开“Autoruns”文件夹,双击“Autoruns.exe”文件。 图1 打开AutoRuns文件夹 在弹出的对话框中,单击“Agree”。
排查过程 方案一:工具溯源排查 方案二:DOS系统命令排查 Windows主机安全加固建议 父主题: 主机安全排查(Windows操作系统)
检测主机内的异常用户目录下是否存在异常文件(非系统和业务部署创建的文件)。 对异常文件分析,是否为正常业务部署创建的文件,或者通过杀毒软件对文件进行安全检测。 父主题: 方案一:工具溯源排查
排查思路 本文档为您介绍两种Windows主机排查方法,推荐选择“工具溯源排查”的方法: 方案一:工具取证排查(推荐):使用Windows官方的进程/链接/自启动分析工具进行排查。 使用工具取证排查方案时,建议如下软件工具: 表1 软件工具 工具名称 下载地址 ProcessExplorer
高危端口开放策略的安全最佳实践 为保障您的华为云资源安全,帮助您安全地访问华为云资源,请您参考以下安全建议来设置高危端口的开放策略。 设置安全组和网络ACL控制入方向访问 用户可以通过在安全组和网络ACL中定义入方向的访问规则,保护加入该安全组的云服务器和该网络ACL关联的子网。
定期检测系统和软件中的安全漏洞,及时更新系统安全补丁,将软件版本升级到官方最新版本。 建议从官方渠道下载安装软件,对非官方渠道下载的软件,建议使用杀毒软件扫描后再运行。 为彻查主机和应用方面潜在的安全风险,建议使用华为云官方提供的管理检测与响应服务进行全面的安全体检或使用主机安全服务深度防御:
主机面临的安全问题 概述 对外攻击:端口扫描 挖矿 勒索 父主题: 主机安全排查
分析当前的网络连接与进程是否存在异常,建议利用netstat -anpt命令进行查看;若当前连接与进程已停止或被隐藏,可以利用抓包方式进行分析,需要安装tcpdump抓包工具。 执行以下命令抓包,分析UDP流量攻击。 tcpdump -nn udp 抓包结果如图1显示。 图1 UDP对外攻击数据包 执行以下命令
案例 如下为主机被勒索的几个案例: 案例一:Windows主机文件加密,主机内存在勒索信条 案例二:Windows主机文件加密,主机内文件被添加后缀 案例三:Linux主机文件加密,主机文件被添加后缀 父主题: 主机面临的安全问题
排查过程 本章节介绍Linux操作系统中主机安全排查的具体过程。 操作步骤 查看主机是否存在异常进程。 查询命令:top 根据CPU占用率、进程名称等判断是否存在异常进程,如下可疑进程CPU占用率超过100%。 根据异常进程PID值,查看文件位置。 查询命令:lsof -p+进程PID值(如25267)
)。 对文件进行分析,发现矿池信息,URL进行检测为矿池。 案例二: Windows主机存在挖矿进程。 主机内发现异常文件。 对文件进行分析,发现矿池信息。 检测URL为恶意矿池地址。 父主题: 主机面临的安全问题
数据、程序运行在主机上,一旦主机被黑客成功入侵,数据将面临被窃取或被篡改的风险,导致业务中断,造成重大损失,主机安全是业务安全的重中之重。 本文将重点介绍主机可能面临的以下几个安全问题: 对外攻击:端口扫描 挖矿 勒索 父主题: 主机面临的安全问题
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
