检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
333等),或者在RemoteAddress这一栏自动解析的host中包含mine,pool,xmr等关键字,该进程疑似被感染病毒。 (仅供参考)您可以通过安全检测网站,检测外网远程地址或者URL进行在线查询判断。 检测地址:https://x.threatbook.cn/ 微步检测IP:需要检测的网站IP。
查看网络分析,是否存在异常的IP链接主机。 查询命令:netstat –ano 根据查询结果排除业务连接端口或业务外部地址连接,锁定可疑地址。 使用微步在线确认可疑地址是否属于恶意或非正常业务的海外地址。 通过异常连接的“PID”,通过值(如2240)在步骤 1的查询结果找到进程(如vchost.exe)。
AutoRuns 在上方的菜单栏中,选择“Options > Scan Options”,勾选“CheckVirusTotal.com”,打开在线检测进程功能。 检查“Autorun”列和“Images Path”列是否存在异常文件(非系统和正常业务部署创建文件)。 如果发现可疑进程
件夹,双击“procexp64.exe”文件。 图1 processExplorer 在弹出的对话框中,单击“Agree”,查看进程信息,在线排查进程。 图2 查看当前进程 在上方的菜单栏中,选择“Options > VirusTotal.com”,勾选“Check VirusTotal
端口扫描攻击是一种攻击方式,攻击者将请求发送到目标服务器或工作站的IP地址,以发现主机开放的端口,并利用端口对应程序中的漏洞进行攻击。 案例 以下为主机被端口扫描攻击的几个案例: 案例一: 此机器正在对外大量扫描6379端口,示例如图1所示。 图1 端口扫描 查询发现这些IP地址均为境外IP。 案例二: 主机内发现异常进程,如图2所示。
勒索 什么是勒索病毒 勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。一旦遭受勒索病毒攻击,将会使绝大多数的关键文件被加密。被加密的关键文件无法通过技术手段解密,用户将无法读取资产中的文件,即使向黑客缴纳高昂的赎金
方案一:工具溯源排查 步骤1:进程分析 步骤2:自启动分析 步骤3:网络分析 步骤4:异常用户分析 父主题: 排查过程
UDP反射放大攻击安全排查 简介 排查方法 解决方案&防护措施
排查过程 方案一:工具溯源排查 方案二:DOS系统命令排查 Windows主机安全加固建议 父主题: 主机安全排查(Windows操作系统)
-p+进程PID值(如25267) 发现目录下的异常文件(带有xmr或mine的标识)。 查看文件命令:ll -art 查询木马路径:pwd 查询文件中是否存在异常地址:strings +文件名(如config.json)+ |grep xmr 建议重点排查以下目录:/etc为配置文件、/tmp为临时文件、/bin为可执行文件。
方案一:工具取证排查(推荐):使用Windows官方的进程/链接/自启动分析工具进行排查。 使用工具取证排查方案时,建议如下软件工具: 表1 软件工具 工具名称 下载地址 ProcessExplorer https://docs.microsoft.com/zh-cn/sysinternals/downlo
主机安全排查(Windows操作系统) 排查思路 排查过程 父主题: 主机安全排查
对外发送垃圾邮件处置说明 垃圾邮件的定义及危害 华为云对发送垃圾邮件的用户资源的处理
主机安全排查 主机面临的安全问题 主机安全排查(Windows操作系统) 主机安全排查(Linux操作系统)
主机安全排查(Linux操作系统) 排查思路 排查过程 Linux主机安全加固建议 父主题: 主机安全排查
垃圾邮件的定义及危害 什么是垃圾邮件? 垃圾邮件是指未经收件人允许而强行发送的电子邮件,以下是垃圾邮件的一些常见特征: 不显示标题、发件人身份或地址的电子邮件。 主题或内容包含虚假信息的电子邮件。 内容包含欺骗性信息的电子邮件。 内容违反法律法规的电子邮件。 携带有病毒等有害信息的电子邮件。
反垃圾邮件组织已将您的IP列入黑名单,会限制绑定该IP地址的主机访问网站和对外发送邮件,请您尽快停止使用该IP地址的主机发送垃圾邮件,并对邮箱做好防护。 被反垃圾邮件组织拉黑,将严重损害华为云的服务形象,华为云将永久冻结您的IP且无法解冻。请重新绑定新的IP地址使用。 父主题: 对外发送垃圾邮件处置说明
安全组高危端口策略设置 若不需要对外开放,建议您删除对应策略。 若需要对外指定“源地址”开放,建议您修改对应策略的“源地址”为“IP白名单内的地址”,可参考仅允许特定IP地址远程连接弹性云服务器。 不建议您对所有IP地址开放高危端口策略。 在左侧导航树中,选择“访问控制 > 网络ACL”,进入网络ACL。
件版本升级到官方最新版本。 建议从官方渠道下载安装软件,对非官方渠道下载的软件,建议使用杀毒软件扫描后再运行。 不随意点开不明邮件链接或者网页链接。 请勿使用默认账户默认密码或弱密码。 设置所有OS系统口令(包括管理员和普通用户)、数据库账号口令、WEB应用系统管理账号口令为强口令
主机面临的安全问题 概述 对外攻击:端口扫描 挖矿 勒索 父主题: 主机安全排查
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
