租户端 安全 主机安全(CWP) 常见问题

入侵相关

最近更新时间: 2024-12-19 17:12:00

入侵常见问题

云服务器被入侵有哪些危害?

  • 业务被中断:数据库、文件被篡改或删除,导致服务无法访问,系统瘫痪。
  • 数据被窃取:黑客窃取企业数据后公开售卖,客户隐私数据被泄漏,导致企业品牌受损、用户流失。
  • 被加密勒索:黑客入侵云服务器后通过植入不可逆的加密勒索软件对数据进行加密,对企业进行金钱勒索。
  • 服务不稳定:黑客在云服务器中运行挖矿程序、DDoS 木马程序,消耗大量系统资源,导致云服务器不能提供正常服务。

如何降低云服务器被入侵概率?

  • 及时修复高危漏洞及基线相关问题。
  • 设置强密码,避免暴破攻击。
  • 定期巡检账号、权限、端口并及时处理主机安全租户端控制台上的告警信息。

云服务器被入侵后要如何防护?

防范措施建议如下:

  • 云服务器密码设置为大写、小写、特殊字符、数字组成的12 - 16位的复杂密码 ,也可使用密码生成器自动生成复杂密码。
  • 删除云服务器上设置的不需要的用户,且对于不需要登录的用户,请将其权限设置为禁止登录。
  • 修改远程登录服务的默认端口号并禁止超级管理员用户登录。
  • 针对 Linux 系统较为安全的方法是只使用密钥登录,禁止密码登录。
  • 不建议向公网开放核心应用服务端口访问,例如 mysql、redis 等,您可修改为本地访问或禁止外网访问。
  • 如果您的本地外网 IP 固定,建议使用安全组或者系统防火墙设置,禁止除了本地外网 IP 之外的所有 IP 的登录请求。

注意:

做好日常云服务器系统的安全防护,可以有效加强云服务器系统安全, 但无法保证绝对安全。 建议定期做好云服务器系统的安全巡检及数据备份,以防突发情况导致数据丢失或业务不可用。

如何做好云服务器防范措施?

建议升级主机安全专业版或旗舰版,并处理中危及以上的安全事件。

木马类问题

主机安全发现漏洞木马等攻击是否会进行通知?

会,若主机安全发现木马、应急漏洞或者其他攻击的行为,会通过站内信、短信、邮件或企业微信的方式进行告警通知,具体方式您可以在【消息中心】>【消息订阅】中进行设置。

如何处理木马及病毒文件?

  • 若发现病毒及木马文件需及时进行隔离或删除相应恶意文件。
  • 部分顽固木马、病毒可能存在重复写入的情况,需排查机器上是否存在弱口令、漏洞等异常情况并进行修复,同时删除恶意文件。
  • 部分感染型病毒木马极难进行清理,建议定期对机器做快照备份。

异常登录类问题

云服务器显示登录异常怎么解决?

基于管理员的常用登录地进行异常登录判断,请仔细检查登录记录。若非管理员本人登录,密码可能已经泄露,用户需要对云服务器进行详细的安全检查。

如何处理异常登录告警?

  1. 首先确认该异常登录是否为业务相关人员进行的登录,若非业务相关人员登录,在控制台确认是否存在木马、漏洞及源占用异常等情况,若有异常情况,请及时处理。
  2. 确认该登录账户是否存在密码强度较弱的情况,及时进行修改。
  3. 排查机器中的登录账号是否存在异常账号或权限过高的账户,及时禁用账户或调整权限。

正常登录行为被误报为异常登录,要如何消除误报?

您可以登录主机安全租户端控制台,在左侧导航中选择【入侵检测】>【异常登录】,在异常登录页面,找到被定义为异常登录的记录,在右侧操作栏中,单击【加白名单】,通过自定义添加登录白名单,即可消除误报。

是否可以关闭异常登录检测?

不可以关闭异常登录检测。如果您不想接收异常登录的告警通知,您可以将登录来源添加到白名单,或者取消勾选告警通知,操作步骤如下:

  • 方式1:在【异常登录】页面,选择【白名单管理】> 【添加白名单】,将登录来源添加为白名单。

  • 方式2:在【设置中心】>【告警设置】页面,取消勾选异常登录的“高危”和“可疑”告警项即可。

注意:

如取消勾选,您将不能实时接收到异地登录的告警通知,请谨慎操作。

密码泄露类问题

云服务器被暴力破解如何处理?

若云服务器被暴力破解成功,需尽快排查机器上的异常并进行处理:

  • 排查机器中的账户是否存在弱口令,修改口令强度较弱的密码或采用密钥的方式进行登录,同时可通过设置安全组等方式降低被暴力破解的风险。
  • 主机安全已上线密码破解阻断功能,可进行有效拦截。

提示密码被暴力破解成功之后该如何解决?

密码破解成功后,云服务器可能已被黑客入侵并留下了后门程序。

  • 检查云服务器安全状况,是否还有其它未知账户和木马文件,如果存在请立即删除和修复,并修改云服务器登录密码。
  • 根据实际情况决定是否需要对云服务器进行重置,并设置复杂密码,尽量字母、数字、特殊字符3种组合,长度在15位及以上。

防护状态离线类问题

云服务器的防护状态显示离线要如何解决?

主机安全客户端未连接服务端,导致后台显示离线,建议重新下载主机安全客户端进行安装,离线的可能原因如下:

  • 云服务器启用了防火墙规则。
  • 云服务器安装了第三方恶意软件,导致安全防护程序被破坏。

说明:

故障排查方式请参见 Linux 客户端离线排查 Windows 客户端离线排查