检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
查询命令:tasklist 根据查询结果排除系统进程或业务应用进程,锁定异常进程。 查看网络分析,是否存在异常的IP链接主机。 查询命令:netstat –ano 根据查询结果排除业务连接端口或业务外部地址连接,锁定可疑地址。 使用微步在线确认可疑地址是否属于恶意或非正常业务的海外地址。 通过异常连接的“PID”
方案一:工具溯源排查 步骤1:进程分析 步骤2:自启动分析 步骤3:网络分析 步骤4:异常用户分析 父主题: 排查过程
通过安全组对UDP端口进行限制,华为云用户可参见ECS配置安全组规则。 启动绑定本地监听IP,禁止对外访问、禁用UDP协议、启用登录认证。 调整应用程序中的一些参数,并且重启服务器达成禁用UDP的效果。 通过对业务历史报文数据的统计学习,建立正常业务包大小的正态分布图,由此可以清晰识别出超大或超小包攻击报文。
> 组”,检测组是否存在异常。 检测主机内的异常用户目录下是否存在异常文件(非系统和业务部署创建的文件)。 对异常文件分析,是否为正常业务部署创建的文件,或者通过杀毒软件对文件进行安全检测。 父主题: 方案一:工具溯源排查
检查“Autorun”列和“Images Path”列是否存在异常文件(非系统和正常业务部署创建文件)。 如果发现可疑进程,双击该进程名,可直接定位到注册表位置。可以在“Filter”中过滤可疑进程的名字。 图3 打开注册表编辑器 父主题: 方案一:工具溯源排查
Linux主机安全加固建议 设置所有OS系统口令(包括管理员和普通用户)、数据库账号口令、应用(WEB)系统管理账号口令为强口令,密码12位以上。强口令设置请参见账户密码最佳实践。 将主机登录方式设置为密钥登录。密钥登录设置请参见主机密码被暴力破解的解决方案。 应用程序不以管理员权限账号
失。 定期检测系统和软件中的安全漏洞,及时更新系统安全补丁,将软件版本升级到官方最新版本。 建议从官方渠道下载安装软件,对非官方渠道下载的软件,建议使用杀毒软件扫描后再运行。 不随意点开不明邮件链接或者网页链接。 请勿使用默认账户默认密码或弱密码。 设置所有OS系统口令(包括管理
主机安全排查(Windows操作系统) 排查思路 排查过程 父主题: 主机安全排查
址或者URL进行在线查询判断。 检测地址:https://x.threatbook.cn/ 微步检测IP:需要检测的网站IP。 父主题: 方案一:工具溯源排查
主机安全排查(Linux操作系统) 排查思路 排查过程 Linux主机安全加固建议 父主题: 主机安全排查
net/downloads/binaries/1.16.1/busybox-x86_64 方案二:DOS系统命令排查:通过Windows主机DOS系统命令排查。 父主题: 主机安全排查(Windows操作系统)
VirusTotal.com”和“Submit Unknown Executables”。 图3 options > VirusTotal.com 此时,系统会将当前进程的hash值同virustotal库比对,可快速发现木马进程。 图4 Process Explore-Sysinternals
出正常业务数据包的范畴,说明该设备正在被利用为UDP反射攻击的“放大器”对外攻击。 通过步骤b可知,图中设备UDP连接次数每秒高达5万次以上,说明图中设备所提供的服务被攻击者利用实施UDP反射放大攻击,需要对设备采取必要的防护措施,避免设备资源被攻击行为占用,影响正常业务。 父主题:
华为云对发送垃圾邮件的用户资源的处理 处理说明 对外发送垃圾邮件的行为违反了《华为云用户协议》及相关法律法规,且发送大量垃圾邮件的主机将会被国际反垃圾邮件组织列入黑名单,致使主机访问网站受限、发送邮件受限(邮件无法被接收),将极大的损害华为云的服务形象。因此华为云收到用户的资源存
是否存在异常文件,是否存在异常登录或暴力破解。 应用:查看进程所属应用,应用的目录下是否有异常文件。 父主题: 主机安全排查(Linux操作系统)
排查过程 方案一:工具溯源排查 方案二:DOS系统命令排查 Windows主机安全加固建议 父主题: 主机安全排查(Windows操作系统)
排查过程 本章节介绍Linux操作系统中主机安全排查的具体过程。 操作步骤 查看主机是否存在异常进程。 查询命令:top 根据CPU占用率、进程名称等判断是否存在异常进程,如下可疑进程CPU占用率超过100%。 根据异常进程PID值,查看文件位置。 查询命令:lsof -p+进程PID值(如25267)
UDP反射放大攻击安全排查 简介 排查方法 解决方案&防护措施
TCP:2181 ZooKeeper(分布式系统的可靠协调系统) TCP:9200、9300 ElasticSearch(Lucene的搜索服务器) TCP:2601-2604 Zebra(zebra路由) TCP:11211 Memcached(缓存系统) TCP:3128 Squid(代理缓存服务器)
概述 数据、程序运行在主机上,一旦主机被黑客成功入侵,数据将面临被窃取或被篡改的风险,导致业务中断,造成重大损失,主机安全是业务安全的重中之重。 本文将重点介绍主机可能面临的以下几个安全问题: 对外攻击:端口扫描 挖矿 勒索 父主题: 主机面临的安全问题
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
