检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
告警处理建议 告警类型 说明 处理建议 恶意软件 护网场景下企业主机安全检测出病毒、木马、黑客工具、Webshell类型的恶意软件居多,其中黑客工具类型尤其多,因此请重点关注这些类型的恶意软件告警。
x86_rpm_install.sh中的安装命令适用于x86架构,rpm软件包管理的镜像,如CentOS、EulerOS、OpenSUSE、Fedora。 x86_deb_install.sh中的安装命令适用于x86架构,deb软件包管理的镜像,如Ubuntu、Debian。
安全风险评估 对主机系统进行安全评估,将系统存在的各种风险(账户、端口、软件漏洞、弱口令等)进行展示,提示用户及时加固,消除安全隐患。 账户安全保护 提供覆盖事前、事中和事后的账户安全保护功能。支持双因子认证登录,防止用户云服务器上的账户遭受暴力破解攻击,提高云服务器的安全性。
恶意软件取证信息:当告警事件含软件信息时,调查取证栏目会展示恶意软件取证信息。恶意软件取证信息包含恶意软件家族、病毒名称、病毒类型、置信度等信息。您可以根据这些信息定位恶意软件。 自启动项取证信息:当告警事件含自启动项信息时,调查取证栏目会展示自启动项取证信息。
说明: Linux系统的MySQL基线检测基于MySQL5安全配置规范指导,如果您主机上装有版本号为8的MySQL软件,以下检查项因已废弃不会出现在检测结果中,只在MySQL版本为5的服务器中呈现检测结果。
恶意软件取证信息:当告警事件含软件信息时,调查取证栏目会展示恶意软件取证信息。恶意软件取证信息包含恶意软件家族、病毒名称、病毒类型、置信度等信息。您可以根据这些信息定位恶意软件。 自启动项取证信息:当告警事件含自启动项信息时,调查取证栏目会展示自启动项取证信息。
应用漏洞 通过检测主机及容器宿主机上运行的软件及依赖包发现是否存在漏洞,将存在风险的漏洞上报至控制台,并为您提供漏洞告警。 应急漏洞 通过软件版本比对和POC验证的方式,检测服务器上运行的软件和依赖包是否存在漏洞,将存在风险的漏洞上报至控制台,并给您提供漏洞告警。
× × √ √ √ √ 软件 监测并记录当前系统安装的软件信息,帮助用户清点软件资产,识别不安全的软件版本。 支持的操作系统:Linux、Windows。 检测周期:每日自动检测。 × × √ √ √ √ 自启动项 对系统中的自启动项进行检测,及时统计自启动项的变更情况。
选择“安装与配置 > 主机安装与配置 > 安全配置 > 恶意程序隔离查杀”,分别单击“恶意程序隔离查杀”和“恶意软件云查杀”的开关,开启“恶意程序隔离查杀”和“恶意软件云查杀”。
针对EulerOS、CentOS、Red Hat等支持rpm安装软件的OS,执行命令:rpm -e hostguard 针对Ubuntu、Debian等支持deb安装软件的OS,执行命令:dpkg -P hostguard 当界面回显如下类似信息,则表示卸载Agent完成,无需再执行下一步
怎么去除由于修复软件漏洞造成的关键文件变更告警? 企业项目为什么无法查看“所有项目”? 如何开启/关闭企业主机安全自保护? Windows自保护无法关闭怎么办? ECS已经删除,为什么HSS的服务器列表仍显示存在?
针对EulerOS、CentOS、Red Hat等支持rpm安装软件的OS,执行命令:rpm -e hostguard 针对Ubuntu、Debian等支持deb安装软件的OS,执行命令:dpkg -P hostguard 当界面回显如下类似信息,则表示卸载Agent完成,无需再执行下一步
HSS是否和其他安全软件有冲突? HSS与CodeArts Inspector、WAF有什么区别? HSS支持跨账号使用吗? 什么是HSS的Agent? 企业主机安全可以跨云使用吗? HSS什么版本能满足等保二级要求? 企业主机安全支持版本升级吗? HSS是否支持病毒查杀?
软件合规 检测不允许使用的软件和工具。 基础镜像信息 检测未使用基础镜像构建的业务镜像。 应用场景 本地镜像扫描 在镜像构建完成后进行镜像安全扫描,如果镜像存在安全风险可对流水线进行阻断,防止有风险的镜像推送到生产镜像仓。
Agent是否和其他安全软件有冲突? 如何卸载Agent? Agent安装失败应如何处理? Agent状态异常应如何处理? Agent的默认安装路径是什么? Agent检测时占用多少CPU和内存资源? 购买不同版本HSS,可以共用同一Agent吗?
查看并处理“挖矿软件”告警。 当主机被植入挖矿程序时,会触发HSS发送“挖矿软件”告警。您需要自行判断检测出的挖矿告警文件是正常业务文件,还是攻击者运行的恶意文件。如果确认为攻击事件,建议您对挖矿程序进行隔离查杀。 在待处理告警中,选择“恶意软件 > 挖矿软件”。
Error: software have multiple versions 存在漏洞的软件版本未删除 如果是普通软件出现此问题,可以删除旧版本包,重新检测漏洞是否存在。 执行以下命令测试删除旧版本包有无报错。
例如,攻击者可以通过该漏洞,让勒索木马等软件拥有看似“可信”的签名证书,从而绕过Windows的信任检测机制,误导用户安装。 攻击者还可以利用该漏洞进行中间人攻击,并对有关用户与受影响软件的连接的机密信息进行解密。
为保障您主机内部数据信息的安全,请您及时修改使用弱口令的软件账号,如MySQL账号和FTP账号等。 验证:完成弱口令修复后,建议您立即执行手动检测,查看弱口令修复结果。如果您未进行手动验证且未关闭弱口令检测,HSS会在次日凌晨执行自动验证。 父主题: 基线检查
未分类恶意软件 通过程序特征、行为检测,结合AI图像指纹算法以及云查杀,有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序,也可检测出容器中未知的恶意程序和病毒变种。 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
