检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
WEB控制台端口、局域网内部通信端口避免暴露在公网。关闭高危端口(如SSH端口),或采取限制允许访问端口的源IP、使用VPN/堡垒机建立的运维通道等措施消减风险。 业务数据定期异地备份,避免黑客入侵主机造成数据丢失。 定期检测系统和软件中的安全漏洞,及时更新系统安全补丁,将软件版本升级到官方最新版本。
步骤2:自启动分析 该章节为您介绍如何通过Autoruns工具查看哪些程序被配置为在系统启动和登录时自动启动。 前提条件 推荐下载“Autoruns”工具。 操作步骤 打开“Autoruns”文件夹,双击“Autoruns.exe”文件。 图1 打开AutoRuns文件夹 在弹出的对话框中,单击“Agree”。
主机安全排查(Windows操作系统) 排查思路 排查过程 父主题: 主机安全排查
主机安全排查(Linux操作系统) 排查思路 排查过程 Linux主机安全加固建议 父主题: 主机安全排查
排查过程 本章节介绍Linux操作系统中主机安全排查的具体过程。 操作步骤 查看主机是否存在异常进程。 查询命令:top 根据CPU占用率、进程名称等判断是否存在异常进程,如下可疑进程CPU占用率超过100%。 根据异常进程PID值,查看文件位置。 查询命令:lsof -p+进程PID值(如25267)
排查过程 方案一:工具溯源排查 方案二:DOS系统命令排查 Windows主机安全加固建议 父主题: 主机安全排查(Windows操作系统)
1/busybox-x86_64 方案二:DOS系统命令排查:通过Windows主机DOS系统命令排查。 父主题: 主机安全排查(Windows操作系统)
查是否存在异常文件,是否存在异常登录或暴力破解。 应用:查看进程所属应用,应用的目录下是否有异常文件。 父主题: 主机安全排查(Linux操作系统)
方案一:工具溯源排查 步骤1:进程分析 步骤2:自启动分析 步骤3:网络分析 步骤4:异常用户分析 父主题: 排查过程
"D:\Apps\IDE" | findstr "DR" 查找C盘下,包含“exe”的文件和目录:dir /s C: | findstr "exe" 操作步骤 查看是否存在异常进程。 查询命令:tasklist 根据查询结果排除系统进程或业务应用进程,锁定异常进程。 查看网络分析,是否存在异常的IP链接主机。
Windows主机安全加固建议 设置安全组,仅向公网开放必要端口,业务WEB控制台端口、局域网内部通信端口避免暴露在公网。关闭高危端口(135,139,445),或限制允许访问端口的源IP。 应用程序不要以管理员权限账号运行,应用程序(如Web)不使用数据库管理员权限账号与数据库交互。
该章节为您介绍如何通过TCPView工具查看当前TCP连接状态,排查可疑进程,可疑进程一般用红色标记。 前提条件 推荐下载“TCPView”工具。 操作步骤 打开“TCPView”文件夹,双击“Tcpview.exe”文件,在弹出的对话框中,单击“Agree”。 查看当前TCP连接状态,判断该进程是否为木马程序。
步骤1:进程分析 本章节介绍如何通过Windows官方进程排查木马程序。 前提条件 推荐下载“ProcessExplorer”软件。 操作步骤 打开“ProcessExplorer”文件夹,双击“procexp64.exe”文件。 图1 processExplorer 在弹出的对
步骤4:异常用户分析 该章节为您介绍如何分析异常用户。 操作步骤 打开“控制面板 > 管理工具 > 计算机管理”。 在左侧导航树中,选择“本地用户和组 > 用户”,查看主机是否存在异常用户。 在左侧导航树中,选择“本地用户和组 > 组”,检测组是否存在异常。 检测主机内的异常用户
> 安全组”。 逐个检查安全组,删除入方向规则中的高危端口策略。 在安全组界面,单击“操作”列的“配置规则”,进入安全组详情界面,如图1所示。 图1 安全组界面 选择“入方向规则”,检查是否有表1中的“协议端口”,找到其对应“策略”为“允许”且“源地址”为“0.0.0.0/0”的策略,如图2所示。
主题或内容包含虚假信息的电子邮件。 内容包含欺骗性信息的电子邮件。 内容违反法律法规的电子邮件。 携带有病毒等有害信息的电子邮件。 垃圾邮件有哪些危害? 电子邮件是当今社会的重要沟通工具之一,如果垃圾邮件泛滥将会对社会的稳定与发展产生严重影响: 降低通信质量:垃圾邮件占用大量网络带宽
登录保护界面 开启敏感操作保护 开启敏感操作保护后,您或者您账号中的用户进行敏感操作时,例如删除资源、生成访问密钥等,需要输入密码和验证码进行验证,可以避免误操作带来的风险和损失。 管理员进入安全设置。 选择“敏感操作 > 操作保护”,单击“立即启用”。 图4 敏感操作 在“操作保护”所在行
主机安全排查 主机面临的安全问题 主机安全排查(Windows操作系统) 主机安全排查(Linux操作系统)
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
