检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
通过代理服务器制作Agent安装包或安装命令 根据第三方服务器操作系统类型,通过代理服务器制作对应的Agent安装命令(Linux)或Agent安装包(Windows)。 通过代理服务器制作Agent安装命令(Linux) 登录代理服务器 执行以下命令进入tmp目录。 cd /tmp
如果服务器遭受勒索攻击,不幸失陷,您可以通过备份恢复服务器数据将损失降到最小化。通过备份数据恢复服务器业务数据时,请在还原之前验证备份是否正常,验证无误后,首先还原业务关键型系统。 前提条件 已开启勒索备份,详细操作请参见开启勒索备份。 恢复服务器数据 登录管理控制台,进入企业主机安全界面。 在导航树选择“主机防御
开启了此勒索防护策略的agent的id列表 operating_system 是 String 支持该策略的操作系统,包含如下: Windows : Windows系统 Linux : Linux系统 runtime_detection_status 否 String 是否运行时检测,包含如下
卸载操作,主机防护状态显示为“防护中断”。 表1 防护策略对应的防护等级说明 策略名称 防护等级 集群入侵检测 1 容器逃逸 1 容器文件监控 1 容器进程白名单 1 镜像异常行为 1 无文件攻击检测 1 端口扫描检测 1 进程异常行为 1 root提权 1 rootkit检测 1
如果云服务器的操作系统为Debian或Ubuntu,请以管理员用户在命令行终端执行命令apt-get install libpam-cracklib进行安装。 CentOS、Fedora、EulerOS系统默认安装了PAM并默认启动。 设置口令复杂度策略 为了确保系统的安全性,建议
是否必选 参数类型 描述 operating_system 是 String 需要开启防护的主机的操作系统,包含如下: Windows : Windows系统 Linux : Linux系统 ransom_protection_status 是 String 勒索防护是否开启,包含如下:
策略管理”页面展示当前主机或容器节点关联的策略组下所有策略的应用情况。策略管理功能的详细介绍请参见策略管理概述。 图8 策略管理 基本信息:在基本信息模块,您可以查看策略组的基本信息。 策略状态:在目标策略所在行的“状态”列,您可以查看策略的启用情况。 未启用:策略未开启。 已启用:策略已开启。
参数名称 参数说明 取值样例 服务器操作系统 选择服务器操作系统类型。 Linux 防护策略名称 设置防护策略的名称。 test 防护动作 发现勒索病毒事件后的处理方式。 告警并自动隔离 告警 告警并自动隔离 动态诱饵防护 开启动态诱饵防护后,系统会在防护目录和其他随机位置(不包括
Agent检测时占用多少CPU和内存资源? HSS服务采用轻量级Agent,占用资源极少,不会影响主机系统的正常业务运行。 具体占用的CPU、内存资源如下: CPU占用峰值 Agent运行时,CPU占用控制在1vCPU的20%以内。因此,实际占用比例与您购买的云服务器规格有关,详见不同规格主机Agent资源占用一览。
在防护配额页面,查看主机安全防护配额,参数详情请参见表1。 表1 主机防护配额参数说明 参数名称 参数说明 配额ID 配额的唯一标识ID。单击配额ID,进入配额基本信息页面,可查看配额创建时间、到期处理策略、最近交易订单等信息,也可以在该页面为配额添加标签。 版本类型 基础版 专业版 企业版 旗舰版 网页防篡改版
安全告警事件 > 主机安全告警 ”,选择“系统异常行为 > 进程异常行为”,查看并处理发生的异常进程行为告警。您可以单击“处理”,对挖矿程序进行隔离查杀。 图1 处理进程异常行为 排查其他自启动项,有的挖矿进程为了实现长期驻留,会向系统中添加自启动项来确保系统重启后仍然能重新启动,因此,需要及时清除可疑的自启动项。
高级选项:单击展开。选择备份数据恢复位置。 图1 恢复服务器 单击“确定”,执行备份恢复。 相关操作 建议您根据勒索攻击路径识别系统薄弱点,重点排查并修复系统薄弱项。 父主题: 防御措施
面潜在的安全风险。 修改系统所有账号口令(包括系统账户和应用账户)为符合规范的强口令,或将主机登录方式改为密钥登录彻底规避风险。 设置安全口令,详细操作请参见如何设置安全的口令。 使用密钥登录主机,详细操作请参见使用私钥登录Linux主机。 严格控制系统管理员账户的使用范围,为应
请确保修复漏洞时,您的业务处于低峰期或特定的变更时间窗。 修复说明 Linux、Windows漏洞 如下是近两年在攻防演练中被红队利用最频繁且对企业危害较高的系统漏洞,HSS漏洞库支持扫描该漏洞,如果使用HSS扫描时发现该漏洞,请优先排查修复。 Linux DirtyPipe权限提升漏洞(CVE-2022-0847)
且当主机中存在弱口令时,极易被攻击方通过弱口令完成入侵,因此弱口令风险需要优先修复。 当前HSS支持SSH、FTP、MYSQL类型弱口令,系统中应用的弱口令或默认口令需要您自行排查,如nacos、weblogic等。 登录管理控制台。 在页面左上角选择“区域”,单击,选择“安全与合规
、音视频文件;用户可根据自身需要,自主对服务器执行“快速查杀”、“全盘查杀”、“自定义查杀”扫描任务,并及时处置检测到的病毒文件,增强业务系统的病毒防御能力。 约束与限制 使用病毒查杀功能,需确保服务器安装的Agent版本为以下版本且符合对应的企业主机安全版本或条件,升级Agent的操作,请参见升级Agent。
Windows:AV检测、webshell检测、HIPS检测、登录安全检测、实时进程。 容器版 集群入侵检测、容器逃逸、webshell检测、容器文件监控、容器进程白名单、镜像异常行为。 未开启登录安全策略 所有版本 10 × 对于HSS专业版/企业版/旗舰版/网页防篡改版/容器版,需开启“
恶意程序检测、隔离查杀周期是多久? 检测周期:实时检测。 隔离查杀周期: 已开启自动隔离查杀:系统实时查杀(出现告警,立刻自动查杀)。 未开启自动隔离查杀:需人工查杀,逐一处理。 HSS的隔离查杀支持对“恶意程序(云查杀)”和“进程异常行为”实时检测的告警进行查杀,检测能力详情请参见产品经理。
删除自定义策略组 操作场景 系统预置的策略组不支持删除,您可以删除自定义创建的旗舰版、容器版策略组。 操作须知 如果被删除的策略组已经部署给了主机,在策略组被删除后,这些主机的策略组信息将被设置为“无”。您需要重新参考部署防护策略为主机部署策略组。 删除策略组 登录管理控制台。
动态网页防篡改提供tomcat应用运行时的自我保护。 开启动态网页防篡改需要满足以下条件: 仅针对Tomcat应用。 主机是Linux操作系统。 开启动态网页防篡改后,请等待大约20分钟后检查“tomcat/bin”目录下是否已生成“setenv.sh”文件,如果已生成该文件,
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
