检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
排查方法 本章节内容主要指导您:排查主机是否被作为UDP反射攻击的“放大器”利用。 使用root账户登录服务器。 本例中,该服务器正常运行情况下每秒发送10个长度为800Byte的UDP数据包。 执行以下命令,查看当前的网络连接与进程。 netstat -anput 分析当前的网络连接与
类攻击做出针对性防护策略。 云服务器内通过防火墙对UDP端口进行限制。 通过安全组对UDP端口进行限制,华为云用户可参见ECS配置安全组规则。 启动绑定本地监听IP,禁止对外访问、禁用UDP协议、启用登录认证。 调整应用程序中的一些参数,并且重启服务器达成禁用UDP的效果。 通过
(VPC) 中的弹性云服务器无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,建议您使用华为云的虚拟专用网络(VPN)。 使用华为云原生服务保障安全性 华为云原生服务提供多个特性来保障安全性。 数据库 云数据库服务RDS具有
C&C是指command-and-control命令与控制。简单来说就是一种机器与机器之间的通讯方式。 C&C服务器是由攻击者的计算机将命令发送到受恶意软件入侵的系统,并从目标网络接收被盗的数据。 父主题: 主机面临的安全问题
勒索 什么是勒索病毒 勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。一旦遭受勒索病毒攻击,将会使绝大多数的关键文件被加密。被加密的关键文件无法通过技术手段解密,用户将无法读取资产中的文件,即使向黑客缴纳高昂的赎金
形式,如图1所示。攻击者并不是直接发起对攻击目标的攻击,而是利用互联网的某些服务开放的服务器,通过伪造被攻击者的地址,向中间服务器发送基于UDP服务的特殊请求报文,而这些请求报文会形成成倍的数据发送到攻击目标,从而对后者间接形成DDoS攻击。 图1 UDP反射放大原理图 父主题:
应用程序不要以管理员权限账号运行,应用程序(如Web)不使用数据库管理员权限账号与数据库交互。 业务数据定期异地备份,避免黑客入侵主机造成数据丢失。 定期检测系统和软件中的安全漏洞,及时更新系统安全补丁,将软件版本升级到官方最新版本。 建议从官方渠道下载安装软件,对非官方渠道下载的软件,建议使用杀毒软件扫描后再运行。
与数据库交互设置安全组,仅向公网开放必要端口,业务WEB控制台端口、局域网内部通信端口避免暴露在公网。关闭高危端口(如SSH端口),或采取限制允许访问端口的源IP、使用VPN/堡垒机建立的运维通道等措施消减风险。 业务数据定期异地备份,避免黑客入侵主机造成数据丢失。 定期检测系统
概述 数据、程序运行在主机上,一旦主机被黑客成功入侵,数据将面临被窃取或被篡改的风险,导致业务中断,造成重大损失,主机安全是业务安全的重中之重。 本文将重点介绍主机可能面临的以下几个安全问题: 对外攻击:端口扫描 挖矿 勒索 父主题: 主机面临的安全问题
步骤2:自启动分析 该章节为您介绍如何通过Autoruns工具查看哪些程序被配置为在系统启动和登录时自动启动。 前提条件 推荐下载“Autoruns”工具。 操作步骤 打开“Autoruns”文件夹,双击“Autoruns.exe”文件。 图1 打开AutoRuns文件夹 在弹出的对话框中,单击“Agree”。
电子邮件是当今社会的重要沟通工具之一,如果垃圾邮件泛滥将会对社会的稳定与发展产生严重影响: 降低通信质量:垃圾邮件占用大量网络带宽,影响网络传输速度,容易造成邮件服务器堵塞。 损害收件人利益:垃圾邮件常常包含隐蔽性极强的钓鱼信息,容易导致收件人的信息泄露,进而可能造成收件人被诈骗或商业机密被窃取,而且垃圾
肉鸡也称傀儡机,是指可以被黑客远程控制的机器。肉鸡可以是各种系统,如Windows、Linux、Unix等,更可以是一家公司、企业、学校甚至是政府军队的服务器。 主机被挖矿最直接的影响就是大量消耗系统资源,使系统其他软件或服务运行缓慢,性能变差。同时,黑客还可能通过挖矿程序窃取机密信息,比如机密
号安全性,避免账号忘记退出或钓鱼式攻击带来的用户密码意外泄露。 管理员进入安全设置。 选择“登录验证策略”,按照下图策略进行配置。 图6 登录验证策略配置图 用户可自行修改“登录验证提示”的自定义验证消息。 设置密码策略 设置密码策略,例如密码最小长度、密码中同一字符连续出现的最
+用户名(如administrator),查询用户更改主机密码的时间。 查询命令:systeminfo,查询是否存在重启。 主机重启会自动清理数据,无法分析用户数据,需查询重要文件目录,请参见步骤 4。 检查文件分析,是否存异常文件。 查询命令:dir /s + 文件目录(如C:)+ | findstr
|grep xmr 建议重点排查以下目录:/etc为配置文件、/tmp为临时文件、/bin为可执行文件。 用户命令;用到的库文件可能在/lib,配置文件可能在/etc,/sbin为可执行文件。 管理命令;用到的库文件可能在/lib,配置文件可能在/etc,/usr/为只读文件,shared
在左侧导航树中,选择“本地用户和组 > 组”,检测组是否存在异常。 检测主机内的异常用户目录下是否存在异常文件(非系统和业务部署创建的文件)。 对异常文件分析,是否为正常业务部署创建的文件,或者通过杀毒软件对文件进行安全检测。 父主题: 方案一:工具溯源排查
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
