rootkit
在线木马文件检测
在线木马文件检测、异常Shell或者异步执行。实时检测主机中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。实时检测进程提权当黑客成功入侵主机后,会尝试利用漏洞进行root提权或者文件提权,从而达到非法创建和修改系统账号的目的。实时检测Rootkit安装的文件和目录,帮助用户及时发现可疑的Rootkit安装。支持使用文件特征码检测Rootkit。支持对隐藏文件、端口、进程的检测。支持将自启动服务的防护状态检测栏,在检测周期内对CCE云主机上的官方软件进行rootkit安装和配置。支持将软件安装的许可文件修改为“可信”,防止未经白名单授权的程序运行。已生效服务器应用白名单策略生效的服务器数量。包含以下状态:学习中智能学习进行中。策略创建完成后,自动对学习的服务器执行智能学习。新创建的策略状态都为“学习中”。学习完成,策略未生效该策略已完成智能学习,需确认并启用策略。智能学习完成后,您还需单击该策略状态下的,启用该策略。启用策略后,策略才能生效, HSS 会自动识别您服务器中进程的风险类型(可信、不可信和未知)。学习完成,策略已生效该策略已完成智能学习,并且已应用到关联生效服务器中。
网站后门检测
网站后门检测 云服务器 上Web目录中的文件,判断是否为WebShell木马文件,支持检测常见的PHP、JSP等后门文件类型。网站后门检测信息包括“木马文件路径”、“状态”、“首次发现时间”、“最后发现时间”。您可以根据网站后门信息忽略可信文件。您可以使用手动检测功能检测主机中的网站后门。支持对TCP、UDP、ICMP等协议的检测。实时检测异常Shell检测系统中异常Shell的获取行为,包括对Shell文件的修改、删除、移动、拷贝、硬链接、访问权限变化。实时检测自启动检测检测并列举当前系统中的自启动服务、定时任务、预加载动态库、Run注册表键和开机启动文件夹,帮助用户及时发现非法自启动。实时检测风险账户检测主机系统中的账号,列出当前系统中的可疑账号信息,帮助用户及时发现非法账号。在风险账号告警详情界面,您可以查看“账号名”、“用户组”、“UID/SID”、“用户目录”以及“用户启用Shell”等信息。实时检测提权操作检测当前系统的“进程提权”和“文件提权”操作。检测以下异常提权操作:利用SUID程序漏洞进行root提权。利用内核漏洞进行root提权。支持使用文件特征码检测rootkit。支持对隐藏文件、端口、进程的检测。
