Lihat jenis-jenis peringatan di Security Center - Security Center

Security Center menghasilkan berbagai jenis peringatan untuk ancaman yang terdeteksi pada aset secara real-time, termasuk peringatan untuk pemalsuan web, proses mencurigakan, webshell, logon tidak biasa, dan proses jahat. Security Center mendeteksi ancaman berdasarkan model deteksi ancaman, memungkinkan Anda memantau postur keamanan aset secara real-time dan menangani ancaman secepat mungkin.

Informasi latar belakang

Security Center menghasilkan peristiwa peringatan ketika ancaman terdeteksi pada server atau layanan cloud Anda. Sebagai contoh, ketika Security Center mendeteksi serangan dari alamat IP jahat atau pengecualian pada aset, peristiwa peringatan dihasilkan.

Untuk melihat peringatan yang dihasilkan pada aset Anda, navigasikan ke tab Detection and Response > Alerts > CWPP. Jika Anda telah mengaktifkan fitur Pendeteksian dan Tanggapan Ancaman Cloud (CTDR), buka halaman CTDR > Alert dan klik tab CWPP untuk melihat peringatan tersebut.

Catatan

Pencegahan pemalsuan web adalah fitur tambahan yang disediakan oleh Security Center. Untuk menggunakan fitur ini, Anda harus membeli dan mengaktifkannya. Untuk informasi lebih lanjut, lihat Pencegahan Pemalsuan Web.

Batasan deteksi ancaman

Security Center mendukung deteksi dan penanganan peringatan keamanan secara real-time, deteksi kerentanan dan perbaikan satu-klik, analisis serangan, serta manajemen postur keamanan cloud. Dengan menggabungkan analisis korelasi peringatan dan pelacakan serangan otomatis, Security Center membantu Anda memperkuat keamanan sistem dan aset Anda. Selain kemampuan pertahanan yang disediakan oleh Security Center, kami menyarankan Anda untuk secara teratur memperbarui patch sistem keamanan server Anda dan menggunakan produk-produk seperti Cloud Firewall dan Web Application Firewall untuk mengurangi permukaan serangan ancaman keamanan jaringan. Ini membantu mencegah peretas memanfaatkan kerentanan.

Setelah server dengan agen Security Center diinstal di-restart, proses pertahanan Security Center membutuhkan waktu untuk menjadi efektif. Selama periode ini, Security Center tidak dapat menghentikan ancaman seperti ransomware dan trojan DDoS.

Penting

Karena metode serangan jaringan dan sampel virus terus berkembang, serta lingkungan bisnis aktual bervariasi, Security Center tidak dapat menjamin deteksi dan pertahanan real-time terhadap semua ancaman yang tidak dikenal. Kami menyarankan Anda untuk memperkuat postur keamanan keseluruhan berdasarkan peringatan keamanan, kerentanan, dan manajemen postur keamanan cloud untuk mencegah peretas masuk, mencuri, atau merusak data bisnis.

Model deteksi ancaman

Security Center menyediakan lebih dari 380 model deteksi ancaman untuk mendeteksi ancaman secara komprehensif. Anda dapat mengklik ikon 威胁检测模型图标 di pojok kiri atas halaman Alerts untuk melihat model-model tersebut. Model-model ini digunakan untuk mendeteksi ancaman pada aset cloud Anda secara end-to-end selama 12 tahap serangan jaringan, termasuk Portal Serangan, Eksekusi Kode, Persistensi, Eskalasi Hak Istimewa, dan Penghindaran Pertahanan.

Catatan

Jika Anda telah mengaktifkan manajemen multi-akun untuk Pendeteksian dan Tanggapan Ancaman Cloud (CTDR), Anda perlu beralih ke Current Account View pada halaman Alerts untuk mengakses model deteksi ancaman.

Tingkat risiko peringatan

Peringatan yang dihasilkan oleh Security Center diklasifikasikan ke dalam tingkat risiko berikut:

Tingkat risiko	Deskripsi
Mendesak	Peringatan mendesak dipicu oleh perilaku yang menyebabkan kerusakan atau memberikan dampak persisten pada aset Anda. Jenis perilaku ini mirip dengan serangan umum seperti reverse shell. Peringatan mendesak menunjukkan bahwa aset Anda mungkin sedang diserang. Kami menyarankan Anda untuk melihat detail peringatan dan menangani peringatan tersebut secepat mungkin.
Mencurigakan	Peringatan mencurigakan dipicu oleh perilaku yang menyebabkan kerusakan atau memberikan dampak persisten pada aset Anda. Jenis perilaku ini mirip dengan beberapa perilaku O&M seperti penambahan pengguna yang mencurigakan. Jenis perilaku ini juga dapat terlibat dalam jalur serangan tetapi tidak diperlukan. Aset Anda dapat diserang bahkan jika jenis perilaku ini tidak ada. Sebagai contoh, penghapusan jejak yang ditinggalkan oleh serangan tidak diperlukan dalam jalur serangan. Peringatan mencurigakan menunjukkan bahwa aset Anda memiliki kemungkinan tertentu untuk diserang. Kami menyarankan Anda untuk melihat detail peringatan dan memeriksa apakah ada risiko. Jika ada risiko, tangani risiko tersebut.
Pengingat	Peringatan pengingat dipicu oleh perilaku yang tidak diperlukan dalam jalur serangan. Aset Anda dapat diserang bahkan jika jenis perilaku ini tidak ada. Jenis perilaku ini mirip dengan beberapa perilaku O&M seperti pemantauan port yang mencurigakan. Jika Anda memiliki persyaratan keamanan yang tinggi untuk aset Anda, perhatikan peringatan Pengingat.

Statistik peringatan

Security Center menyediakan statistik berdasarkan jenis peringatan yang diaktifkan, memungkinkan Anda mendapatkan informasi terbaru tentang peringatan pada aset Anda dan jenis peringatan yang diaktifkan atau dinonaktifkan. Di halaman Alerts konsol Security Center, Anda dapat melihat statistik tentang peringatan dan jenis peringatan yang diaktifkan.

Tabel berikut menjelaskan parameter di bagian atas halaman Alerts.

Parameter	Deskripsi	Operasi
Alerting Servers	Jumlah server yang menghasilkan peringatan.	Klik nomor di bawah Server Peringatan untuk pergi ke tab Server pada halaman Host. Tab Server menampilkan detail server tempat peringatan dihasilkan.
Urgent Alerts	Jumlah peringatan Urgent yang belum ditangani.	Klik nomor di bawah Peringatan Mendesak. Sistem akan menampilkan peringatan mendesak di halaman Peringatan. Anda dapat melihat dan menangani peringatan Urgent. Catatan Disarankan untuk segera menangani peringatan Urgent.
Total Unhandled Alerts	Jumlah total peringatan yang belum ditangani.	Lihat detail semua peringatan Tidak Ditangani di halaman Alerts. Untuk informasi lebih lanjut, lihat Lihat dan tangani peringatan.
Precise Defense	Jumlah peringatan yang dihasilkan untuk virus yang secara otomatis dikarantina oleh fitur Malicious Host Behavior Prevention.	Klik nomor di bawah Precise Defense. Sistem akan menampilkan peringatan terkait di halaman Peringatan, termasuk semua virus yang secara otomatis dikarantina oleh fitur Malicious Host Behavior Prevention.Malicious Host Behavior Prevention Catatan Virus yang dikarantina oleh Security Center dapat diabaikan.
Enabled IP Address Blocking Policies/All Policies	Kebijakan Pemblokiran Alamat IP yang Diaktifkan: jumlah alamat IP yang diblokir oleh kebijakan pertahanan terhadap serangan brute-force yang diaktifkan. Semua Kebijakan: jumlah alamat IP yang diblokir oleh semua kebijakan pertahanan terhadap serangan brute-force yang telah dibuat.	Klik nomor di bawah Kebijakan Pemblokiran Alamat IP yang Diaktifkan/Semua Kebijakan. Di panel IP Policy Library, Anda dapat melihat kebijakan pemblokiran IP yang diaktifkan atau semua kebijakan pemblokiran IP yang telah dibuat. Untuk informasi lebih lanjut tentang kebijakan pemblokiran IP, lihat Pertahanan terhadap serangan brute-force.
Quarantined Files	Jumlah file yang dikarantina oleh Security Center berdasarkan peringatan yang telah ditangani.	Klik nomor di bawah Quarantined Files. Di panel tersebut, Anda dapat melihat detail file yang dikarantina. File yang dikarantina tidak akan memengaruhi server Anda. Untuk informasi lebih lanjut, lihat Lihat dan pulihkan file yang dikarantina.

Jenis peringatan

Untuk detail lebih lanjut mengenai item pemeriksaan dan prinsip pemeriksaan untuk setiap jenis peringatan di Security Center, lihat Peringatan. Jenis peringatan yang dihasilkan oleh Security Center berbeda-beda tergantung pada edisi Security Center. Untuk informasi lebih lanjut, lihat Fungsi dan fitur.

Tabel berikut mencantumkan semua jenis peringatan yang dapat dihasilkan oleh Security Center.

Nama peringatan	Deskripsi peringatan
Web Tamper-proofing	Memantau direktori web secara real-time dan memulihkan file atau direktori yang dirusak menggunakan file cadangan. Ini melindungi situs web dari modifikasi jahat, trojan, tautan tersembunyi, dan unggahan konten kekerasan atau ilegal. Item pemeriksaan berikut didukung: Penambahan file Modifikasi file Penghapusan file Catatan Pencegahan pemalsuan web adalah fitur bernilai tambah yang disediakan oleh Security Center. Untuk menggunakan fitur ini, Anda harus membeli dan mengaktifkannya. Pencegahan pemalsuan web tersedia di edisi Anti-virus Edition, Pro, Enterprise, dan Ultimate. Edisi Dasar tidak mendukung fitur ini. Untuk informasi lebih lanjut, lihat Pencegahan Pemalsuan Web.
Process Anomaly	Mendeteksi proses mencurigakan pada aset Anda, termasuk tetapi tidak terbatas pada item pemeriksaan berikut: Operasi penulisan pada file konfigurasi tugas terjadwal di Linux Pemalsuan file crontab Linux Ekseskusi perintah mencurigakan di Linux Reverse shell. Untuk informasi lebih lanjut, lihat Teknologi deteksi multidimensi reverse shell Security Center.
Webshell	Menggunakan mesin deteksi eksklusif untuk mendeteksi file backdoor umum dan menyediakan fitur isolasi manual satu-klik. Melakukan deteksi statis dengan memindai seluruh direktori web setiap hari tengah malam. Deteksi dinamis dipicu ketika terjadi perubahan pada file direktori web. Mendukung konfigurasi ruang lingkup aset untuk deteksi webshell. Mendukung isolasi, pemulihan, dan pengabaian file webshell yang terdeteksi. Catatan Edisi Gratis hanya mendukung beberapa jenis deteksi webshell. Edisi berbayar lainnya dari Security Center mendukung semua jenis deteksi webshell. Untuk deteksi webshell yang lebih komprehensif, kami sarankan Anda meningkatkan ke edisi Anti-virus Edition, Pro, Enterprise, atau Ultimate. Untuk informasi lebih lanjut tentang cara meningkatkan, lihat Upgrade dan downgrade.
Unusual Logon	Mendeteksi logon tidak biasa ke server Anda. Anda dapat mengonfigurasi IP logon yang disetujui, rentang waktu, dan akun. Logon dari IP yang tidak disetujui, akun, atau rentang waktu memicu peringatan. Anda dapat menambahkan lokasi logon yang disetujui secara manual atau mengonfigurasi sistem untuk memperbarui lokasi logon yang disetujui secara otomatis. Anda juga dapat menentukan aset tempat peringatan dihasilkan ketika logon dari lokasi yang tidak disetujui terdeteksi. Item pemeriksaan berikut didukung: Logon ke instance ECS dari IP yang tidak disetujui Logon ke instance ECS dari lokasi tidak biasa Urutan perintah mencurigakan yang dieksekusi setelah logon ECS melalui SSH Instance ECS yang terganggu karena serangan brute-force pada SSH Untuk informasi lebih lanjut, lihat Apa prinsip deteksi dan peringatan logon tidak biasa di Security Center?.
Anomalous Activity	Mendeteksi aktivitas mencurigakan selama runtime aplikasi.
Sensitive File Tampering	Memeriksa apakah file sensitif di server Anda telah dirusak. File sensitif termasuk file konfigurasi pre-loaded dalam pustaka bersama Linux.
Malware	Menggunakan agen untuk memindai server Anda secara real-time. Jika virus terdeteksi, Security Center menghasilkan peringatan. Anda dapat menangani program jahat di konsol Security Center. Item pemeriksaan berikut didukung: Akses ke alamat IP jahat Program penambangan Trojan yang bermutasi sendiri Program jahat Trojan
Suspicious Network Connection	Mendeteksi koneksi dan pemutusan jaringan yang tidak biasa. Item pemeriksaan berikut didukung: Koneksi proaktif ke sumber unduhan jahat Akses ke nama domain jahat Komunikasi dengan kolam penambangan Koneksi keluar mencurigakan Koneksi jaringan reverse shell (Untuk informasi lebih lanjut, lihat Teknologi deteksi multidimensi reverse shell Security Center.) Koneksi tidak biasa di Windows Serangan pergerakan lateral mencurigakan pada jaringan internal Pemindaian mencurigakan pada port sensitif, seperti port 22, 80, 443, dan 3389
Others	Mendeteksi pemutusan tidak biasa dari agen Security Center.
Unauthorized Account	Mendeteksi akun logon tidak sah.
Application Intrusion	Mendeteksi intrusi yang menggunakan komponen aplikasi sistem.
Threat Detection For Alibaba Cloud Services	Mendeteksi apakah ada ancaman pada layanan Alibaba Cloud lain yang telah Anda beli. Ancaman tersebut meliputi penghapusan mencurigakan aturan grup keamanan ECS.
Accurate Defense	Malicious Host Behavior Prevention menyediakan kemampuan pertahanan akurat terhadap ransomware utama, trojan DDoS, program penambangan dan trojan, program jahat, backdoor, dan cacing. Untuk informasi lebih lanjut tentang cara mengaktifkan fitur ini, lihat Pertahanan Proaktif.
Application Whitelist	Anda dapat mengonfigurasi aplikasi yang memerlukan perlindungan kunci dalam kebijakan daftar putih untuk mendeteksi proses mencurigakan atau jahat di server Anda. Peringatan dihasilkan untuk proses yang tidak ada dalam daftar putih.
Persistent Backdoor	Mendeteksi backdoor persisten atau jejak intrusi yang ditanamkan oleh penyerang di server Anda. Peringatan dihasilkan untuk ancaman seperti injeksi webshell di memori, program backdoor, dan modifikasi entri registri yang tidak normal.
Web Application Threat Detection	Mendeteksi intrusi yang menggunakan aplikasi web.
Malicious Script	Mendeteksi apakah layanan sistem aset Anda diserang atau dimodifikasi oleh skrip jahat. Jika potensi serangan skrip terdeteksi, Security Center menghasilkan peringatan. Skrip jahat diklasifikasikan menjadi skrip berbasis file dan skrip tanpa file. Setelah penyerang mendapatkan kendali atas server, penyerang menggunakan skrip untuk serangan tambahan. Sebagai contoh, penyerang mungkin menyisipkan program penambangan dan backdoor ke terminal, serta menambahkan akun administrator ke sistem terminal. Bahasa pemrograman skrip jahat meliputi Bash, Python, Perl, PowerShell, Batch, dan VBScript.
Threat Intelligence	Security Center menggunakan pustaka intelijen ancaman yang dikembangkan oleh Alibaba Cloud untuk melakukan analisis korelasi pada lalu lintas akses dan log. Security Center juga mendeteksi peristiwa ancaman, termasuk akses ke domain jahat, sumber unduhan jahat, dan alamat IP jahat.
Container Cluster Anomaly	Security Center memantau status keamanan kontainer yang sedang berjalan di kluster Kubernetes. Ini memungkinkan Anda mendeteksi risiko keamanan dan intrusi di kluster secepat mungkin. Anda perlu mengaktifkan fitur deteksi ancaman K8s kontainer. Untuk informasi lebih lanjut, lihat Pengaturan perlindungan kontainer.

Peringatan

Berikut adalah daftar peringatan yang dapat dihasilkan oleh Security Center. Peringatan dikategorikan berdasarkan sistem operasi, item deteksi, dan metode serangan. Menggunakan intelijen ancaman Alibaba Cloud serta kerentanan terbaru yang diungkapkan, Security Center menganalisis ancaman pada server Anda melalui sistem pencegahan intrusi (IPS) dan menghasilkan berbagai jenis peringatan. Bagian ini menjelaskan jenis-jenis peringatan yang dihasilkan.

Peringatan untuk server Linux

Jenis Peringatan	Nama Peringatan	Deskripsi
Persistensi	Pemalsuan File Konfigurasi Kernel	Model deteksi ancaman mendeteksi bahwa file konfigurasi modul kernel di server Anda telah dirusak. Pemalsuan biasanya terdeteksi ketika program rootkit memodifikasi file konfigurasi untuk mencapai self-starting.
	Skrip Item Startup Jahat	Model deteksi ancaman mendeteksi beberapa file item self-startup di server Anda yang mencurigakan. File tersebut kemungkinan merupakan tugas terjadwal atau skrip self-startup yang disisipkan oleh malware atau penyerang untuk mencapai persistensi.
	Proses Backdoor	Model deteksi ancaman mendeteksi proses backdoor mencurigakan di server Anda. Proses backdoor ini mungkin merupakan perilaku persisten yang ditinggalkan oleh penyerang untuk mempertahankan izin.
	Kode Abnormal di Memori	Model deteksi ancaman mendeteksi instruksi jahat di memori proses di server Anda. Proses tersebut mungkin malware yang ditinggalkan oleh penyerang atau proses yang kode jahat disuntikkan ke dalamnya.
	Proses Abnormal	Model deteksi ancaman mendeteksi adanya proses abnormal di program yang sedang berjalan di server Anda. Proses-proses tersebut mungkin merupakan proses jahat atau proses yang memuat kode jahat.
	Item Self-Startup Abnormal	Model deteksi ancaman mendeteksi item self-startup abnormal di server Anda. Item self-startup tersebut mungkin ditambahkan oleh penyerang atau malware untuk mencapai persistensi.
	Modul Kernel Tersembunyi	Model deteksi ancaman mendeteksi modul kernel tersembunyi di server Anda. Modul kernel tersebut mungkin backdoor rootkit yang disisipkan oleh penyerang atau malware, digunakan untuk menyembunyikan jejaknya sendiri atau program jahat lainnya.
	Tugas Terjadwal Mencurigakan di Linux	Model deteksi ancaman mendeteksi tugas terjadwal mencurigakan di server Anda. Tugas tersebut mungkin perilaku persisten yang ditinggalkan oleh penyerang di server Anda.
	Backdoor Kunci Publik SSH	Model deteksi ancaman mendeteksi kunci publik SSH abnormal untuk logon di server Anda. Kunci publik SSH tersebut ditambahkan ke server yang diserang oleh worm atau penyerang untuk mempertahankan izin.
Skrip Jahat	Ekseskusi Kode Skrip Jahat	Model deteksi ancaman mendeteksi bahwa kode skrip jahat, seperti Bash, PowerShell, dan Python, dieksekusi di server Anda.
Skrip Jahat	Deteksi File Skrip Jahat	Model deteksi ancaman mendeteksi file skrip jahat di server Anda. File tersebut mungkin disisipkan oleh penyerang yang menyusup ke server Anda. Kami menyarankan Anda memeriksa apakah konten file sah berdasarkan tag skrip jahat, lalu menangani file tersebut.
Malware	Perangkat Lunak Dasar yang Tercemar	Model deteksi ancaman mendeteksi perangkat lunak dasar yang tercemar di server Anda. Dalam banyak kasus, perangkat lunak dasar yang tercemar adalah program sistem yang kode jahat disuntikkan ke dalamnya. Meskipun perangkat lunak dasar yang tercemar menawarkan fitur dasar, ia diam-diam melakukan perilaku jahat.
	Program Jahat	Model deteksi ancaman mendeteksi bahwa program jahat sedang berjalan di server Anda. Program jahat memiliki berbagai karakteristik perilaku jahat atau merupakan program pihak ketiga yang menyebabkan gangguan atau kerusakan.
	Akses ke Alamat IP Jahat	Model deteksi ancaman mendeteksi bahwa sebuah proses di server Anda mencoba terhubung ke alamat IP jahat. Alamat IP ini mungkin alamat IP server C&C atau alamat IP kolam penambangan yang dieksploitasi oleh penyerang, dengan risiko tinggi. Proses tersebut mungkin file jahat yang disisipkan oleh penyerang.
	Virus Infektif	Model deteksi ancaman mendeteksi bahwa virus infektif sedang berjalan di server Anda. Virus infektif adalah jenis program jahat tingkat lanjut yang menulis kode jahat ke dalam file program normal untuk dieksekusi. Sejumlah besar program normal sering terinfeksi dan kemudian terdeteksi sebagai host virus.
	Alat Penyerang	Model deteksi ancaman mendeteksi alat penyerang di server Anda. Alat penyerang digunakan untuk meningkatkan hak istimewa, mencuri data sensitif selama proses intrusi, menghapus perangkat lunak keamanan, atau menyisipkan program backdoor setelah penyerang menyusup ke server Anda.
	Program Backdoor	Model deteksi ancaman mendeteksi bahwa program backdoor sedang berjalan di server Anda. Program backdoor adalah program persisten yang disisipkan ke dalam sistem dan dieksploitasi oleh penyerang untuk terus-menerus menyusup ke server.
	Program Mencurigakan	Model deteksi ancaman mendeteksi bahwa program mencurigakan sedang berjalan di server Anda. Dalam banyak kasus, program mencurigakan memiliki karakteristik kode jahat atau sangat mencurigakan dan perlu diklasifikasikan. Anda harus menentukan program mencurigakan berdasarkan kode atau detail program.
	Ransomware	Model deteksi ancaman mendeteksi bahwa ransomware sedang berjalan di server Anda. Ransomware adalah program jahat yang mengenkripsi dan mengunci semua file data kunci di server untuk mendapatkan tebusan.
	Eksploitasi	Model deteksi ancaman mendeteksi bahwa eksploitasi sedang berjalan di server Anda. Eksploitasi memanfaatkan kerentanan yang dikenal di sistem operasi dan aplikasi untuk meningkatkan hak istimewa, melaksanakan escape, dan mengeksekusi kode arbitrer.
	Trojan	Model deteksi ancaman mendeteksi trojan di server Anda. Trojan adalah program khusus yang digunakan untuk menyusup ke server Anda. Setelah trojan disisipkan ke dalam sistem secara menyamar, trojan tersebut mengunduh dan melepaskan program jahat.
	Cacing	Model deteksi ancaman mendeteksi bahwa cacing sedang berjalan di server Anda. Cacing adalah jenis program yang mereplikasi dirinya sendiri untuk menyebar dari server yang terganggu ke server lain. Cacing dapat mengeksploitasi kerentanan dan meluncurkan serangan brute-force.
	Program Penambangan	Model deteksi ancaman mendeteksi bahwa program penambangan sedang berjalan di server Anda. Program penambangan mengonsumsi sumber daya komputasi server dan menambang cryptocurrency. Jenis program ini menyebabkan utilisasi CPU sangat tinggi dan membawa program jahat.
	Trojan yang Bermutasi Sendiri	Model deteksi ancaman mendeteksi bahwa trojan yang bermutasi sendiri sedang berjalan di server Anda. Trojan yang bermutasi sendiri mengubah nilai hash filenya atau mereplikasi dirinya ke banyak jalur dan berjalan di latar belakang. Dengan cara ini, ia menghindari dibersihkan oleh sistem.
	Trojan DDoS	Model deteksi ancaman mendeteksi bahwa trojan DDoS sedang berjalan di server Anda. Trojan DDoS adalah program jahat yang digunakan untuk menerima instruksi dari server yang terganggu untuk meluncurkan serangan DDoS terhadap server tertentu.
	Rootkit	Model deteksi ancaman mendeteksi rootkit di server Anda. Rootkit adalah modul jahat yang disisipkan di sistem dasar. Rootkit digunakan untuk menyembunyikan jejaknya sendiri atau program jahat lainnya.
	Modul Kernel Rootkit	Model deteksi ancaman mendeteksi rootkit di server Anda. Rootkit adalah modul jahat yang disisipkan di sistem dasar. Rootkit digunakan untuk menyembunyikan jejaknya sendiri atau program jahat lainnya.
Proses Mencurigakan	Pemalsuan Waktu File	Model deteksi ancaman mendeteksi bahwa sebuah proses di server Anda mencoba memodifikasi waktu file. Proses tersebut mungkin dipicu oleh penyerang yang meniru waktu file aktual untuk memalsukan waktu pembuatan, akses, atau modifikasi file abnormal guna menghindari deteksi.
	Panggilan Alat Berisiko	Model deteksi ancaman mendeteksi panggilan mencurigakan terhadap alat berisiko di server Anda. Alat berisiko dapat digunakan sebagai proxy, terowongan, atau alat pemindaian yang dieksploitasi oleh penyerang untuk menyusup ke server.
	Reverse Shell	Model deteksi ancaman mendeteksi bahwa server Anda telah menjalankan perintah reverse shell. Penyerang menjalankan perintah reverse shell untuk membuat koneksi jaringan balik antara server Anda dan server penyerang. Perintah arbitrer dapat dijalankan di server Anda berdasarkan koneksi jaringan balik tersebut. Untuk informasi lebih lanjut, lihat Deteksi reverse shell dari banyak dimensi.
	Koneksi ke Sumber Unduhan Berbahaya	Model deteksi ancaman mendeteksi bahwa server Anda mencoba untuk terhubung ke sumber unduhan berbahaya. Penyebab potensialnya adalah penyerang telah mengeksploitasi kata sandi lemah atau kerentanan eksekusi perintah untuk mengunduh file berbahaya dari server jarak jauh.
	Akses ke File Sensitif	Model deteksi ancaman secara otomatis menganalisis perilaku historis dari sebuah proses di server Anda dan mendeteksi bahwa proses tersebut membaca atau memodifikasi file sistem penting dengan cara yang mencurigakan.
	Perintah Mencurigakan Dijalankan oleh Sebuah Proses	Model deteksi ancaman secara otomatis menganalisis perilaku historis dari sebuah proses pada server Anda dan mendeteksi bahwa proses tersebut menjalankan perintah mencurigakan. Penyebab potensialnya adalah bahwa penyerang telah mengeksploitasi kerentanan Eksekusi Kode Jarak Jauh (RCE) dari layanan untuk menjalankan perintah tersebut.
	Perintah Mencurigakan Dijalankan oleh Aplikasi Berisiko Tinggi	Model deteksi ancaman mendeteksi bahwa aplikasi berisiko tinggi di server Anda menjalankan perintah mencurigakan. Aplikasi berisiko tinggi dapat berupa layanan web, layanan basis data, skrip, tugas terjadwal, atau item yang dimulai secara otomatis. Aplikasi ini mungkin telah dikompromikan dan digunakan oleh penyerang untuk menjalankan perintah jahat.
	Perintah Terenkripsi Mencurigakan	Model deteksi ancaman mendeteksi bahwa data baris perintah dari sebuah proses di server Anda sangat mencurigakan. Hal ini mungkin terkait dengan trojan, virus, atau penyerang.
	Mendengarkan Port Mencurigakan	Model deteksi ancaman mendeteksi adanya aktivitas mendengarkan port yang mencurigakan pada server Anda. Setelah penyerang masuk ke server, mereka menggunakan perangkat lunak seperti nc untuk mendengarkan port. Dengan cara ini, penyerang membuat saluran komunikasi tersembunyi untuk mencuri informasi dari server.
	Jalur Mencurigakan	Model deteksi ancaman mendeteksi ekstensi nama file yang mencurigakan di server Anda. File tersebut dapat dieksekusi, dan format file tidak sesuai dengan format yang diwakili oleh ekstensinya. Penyebab potensialnya adalah bahwa penyerang telah mengubah ekstensi nama file dari file yang dapat dieksekusi selama proses intrusi untuk menghindari deteksi.
	Eksekusi File Mencurigakan	Model deteksi ancaman mendeteksi bahwa sebuah file di server Anda ditulis dan dieksekusi dengan cara yang mencurigakan. File tersebut mungkin merupakan alat berbahaya yang diunduh dari sumber eksternal dan dieksekusi oleh penyerang.
	Perilaku Mencurigakan	Model deteksi ancaman secara otomatis menganalisis perilaku historis dari sebuah proses di server Anda dan mendeteksi perintah mencurigakan.
	Potensi Pelanggaran Data dengan Menggunakan Terowongan HTTP	Model deteksi ancaman mendeteksi bahwa saluran HTTP digunakan untuk mengirimkan hasil eksekusi perintah pada server Anda ke server eksternal. Penyebab potensialnya adalah bahwa penyerang telah mengeksploitasi kerentanan RCE untuk mengirimkan hasil eksekusi perintah pada server yang telah disusupi ke server yang digunakan oleh penyerang.
	SSH Tunneling Mencurigakan	Model deteksi ancaman mendeteksi bahwa server Anda mencoba membangun SSH tunneling yang mencurigakan.
	Injeksi Webshell Mencurigakan	Model deteksi ancaman mendeteksi bahwa sebuah proses mencurigakan mencoba menyuntikkan file webshell ke server Anda.
	Peningkatan Hak Istimewa yang Mencurigakan	Model deteksi ancaman mendeteksi bahwa beberapa proses di server Anda sedang mengeksploitasi kerentanan sistem dan kerentanan aplikasi untuk mendapatkan izin sistem tinggi. Penyebab potensialnya adalah bahwa penyerang telah melakukan peningkatan hak istimewa selama proses intrusi.
	Perilaku Rootkit Mencurigakan	Model deteksi ancaman mendeteksi bahwa backdoor rootkit di server Anda menjalankan perintah mencurigakan. Penyebab potensialnya adalah penyerang telah menyisipkan backdoor rootkit dan mengirim instruksi jahat ke backdoor tersebut untuk mencapai kontrol jarak jauh.
	Pemanggilan Mencurigakan Alat Ekspor Database	Model deteksi ancaman menganalisis perilaku historis dari sebuah proses di server Anda dan mendeteksi pemanggilan mencurigakan alat ekspor database. Penyebab potensialnya adalah bahwa penyerang telah mencuri data dari server Anda setelah server tersebut dikompromikan.
	Urutan Perilaku Abnormal	Model deteksi ancaman mendeteksi kombinasi dari beberapa urutan perilaku abnormal pada server Anda. Kombinasi tersebut biasanya disebabkan oleh penyebaran keluarga cacing. Layanan Anda mungkin juga telah terinfeksi oleh cacing.
	Perintah Mencurigakan Dijalankan oleh Apache CouchDB	Model deteksi ancaman mendeteksi bahwa Apache CouchDB di server Anda menjalankan perintah mencurigakan.
	Perintah Mencurigakan Dijalankan oleh Aplikasi FTP	Model deteksi ancaman mendeteksi bahwa sebuah aplikasi FTP di server Anda menjalankan perintah mencurigakan. Penyebab potensialnya adalah bahwa penyerang telah mengeksploitasi kata sandi lemah di aplikasi FTP dan telah menggunakan FTP untuk menjalankan file batch.
	Perintah Mencurigakan Dijalankan oleh Aplikasi Java	Model deteksi ancaman mendeteksi bahwa proses Java di server Anda melakukan operasi berisiko tinggi, seperti unduhan program jahat dan penambahan backdoor. Penyebab potensialnya adalah Anda telah menggunakan kerangka kerja web atau middleware yang rentan.
	Perubahan Tidak Sah pada File Crontab Linux	Model deteksi ancaman mendeteksi bahwa sebuah proses di server Anda mencoba memodifikasi file untuk tugas terjadwal pada Server Linux. Penyebab potensialnya adalah program jahat atau program rootkit mencoba menulis kode backdoor persisten ke server Anda.
	Perintah Mencurigakan Dijalankan oleh Tugas Terjadwal di Linux	Model deteksi ancaman mendeteksi bahwa tugas terjadwal di server Anda menjalankan perintah mencurigakan. Salah satu penyebab potensial adalah penyerang telah menulis perintah jahat dalam tugas terjadwal untuk mempertahankan izin setelah server dikompromikan.
	Urutan Perintah Mencurigakan di Linux	Model deteksi ancaman mendeteksi bahwa sebuah proses di server Anda menjalankan serangkaian perintah mencurigakan. Perintah-perintah ini mirip dengan rangkaian perintah yang biasanya dijalankan oleh penyerang setelah server diretas. Kami menyarankan Anda memeriksa proses induk dari perintah mencurigakan tersebut. Proses induk tersebut mungkin merupakan trojan kontrol jarak jauh, layanan web rentan, atau proses yang telah disisipi kode jahat.
	Eksekusi Perintah Mencurigakan di Linux	Model deteksi ancaman mendeteksi bahwa data baris perintah dari sebuah proses di server Anda sangat mencurigakan. Hal ini mungkin terkait dengan trojan, virus, atau penyerang.
	Penulisan File Mencurigakan dengan Menggunakan Fungsi EXPORT MySQL	Model deteksi ancaman mendeteksi bahwa aplikasi MySQL di server Anda mencoba menulis file ke direktori sensitif. Penyebab potensialnya adalah penyerang telah mengeksekusi pernyataan SQL berbahaya dengan memecahkan kata sandi lemah atau menggunakan aplikasi web.
	Perintah Mencurigakan Dijalankan oleh MySQL	Model deteksi ancaman mendeteksi bahwa layanan MySQL di server Anda menjalankan perintah mencurigakan. Penyebab potensial termasuk password lemah di layanan MySQL dan layanan web ke mana pernyataan SQL telah disisipkan.
	Perintah Mencurigakan Dijalankan oleh Oracle	Model deteksi ancaman mendeteksi bahwa database Oracle di server Anda menjalankan perintah mencurigakan. Penyebab potensial adalah bahwa penyerang telah menjalankan perintah jarak jauh setelah kata sandi database Oracle bocor.
	Penulisan File Pustaka UDF yang Mencurigakan dengan Menggunakan Fungsi Postgres EXPORT	Model deteksi ancaman mendeteksi bahwa aplikasi Postgres di server Anda mencoba menulis file .so yang mencurigakan ke disk. Penyebab potensialnya adalah bahwa penyerang telah mengeksekusi pernyataan SQL jahat di aplikasi Postgres setelah mereka berhasil membobol kata sandi lemah aplikasi Postgres dan masuk ke aplikasi Postgres. Penyerang mungkin telah menggunakan file .so untuk mendapatkan izin kontrol pada server Anda.
	Perintah Mencurigakan Dijalankan oleh Aplikasi PostgreSQL	Model deteksi ancaman mendeteksi bahwa sebuah aplikasi PostgreSQL di server Anda menjalankan perintah mencurigakan. Penyebab potensial termasuk password lemah pada layanan PostgreSQL dan layanan web yang telah disisipi pernyataan SQL berbahaya.
	Eksekusi Perintah Mencurigakan oleh Aplikasi Python	Model deteksi ancaman mendeteksi bahwa sebuah aplikasi Python di server Anda menjalankan perintah mencurigakan. Penyebab potensialnya adalah aplikasi web berbasis Python di server Anda memiliki kerentanan RCE dan telah dikompromikan.
	File Crontab Dimodifikasi oleh Redis	Model deteksi ancaman mendeteksi bahwa aplikasi Redis di server Anda menulis file mencurigakan ke disk. Penyebab potensialnya adalah bahwa penyerang telah menggunakan kata sandi kosong atau telah membobol kata sandi lemah dari aplikasi Redis untuk mengeksekusi pernyataan SQL jahat dan memperoleh izin sistem.
	Perintah Mencurigakan Dijalankan oleh Tomcat	Model deteksi ancaman mendeteksi bahwa kontainer Tomcat di server Anda menjalankan perintah mencurigakan. Penyebab potensialnya adalah penyerang telah mengeksploitasi webshell atau kerentanan RCE dalam aplikasi Java di kontainer Tomcat untuk menjalankan perintah jahat.
Pemalsuan File Sensitif	Pemalsuan File Sistem	Model deteksi ancaman mendeteksi bahwa sebuah proses di server Anda mencoba memodifikasi atau mengganti file sistem. Penyebab potensialnya adalah bahwa penyerang mencoba mengganti file sistem untuk menghindari deteksi dan menyembunyikan backdoor. Kami menyarankan Anda memeriksa apakah file sistem yang memicu peringatan tersebut merupakan file sistem yang sebenarnya.
	Pemindahan File Sistem	Model deteksi ancaman mendeteksi bahwa sebuah proses upstream mencoba memindahkan file sistem di server Anda. Penyebab potensialnya adalah bahwa penyerang telah memindahkan file sistem yang dipantau oleh perangkat lunak keamanan selama proses intrusi untuk menghindari deteksi.
	Pemalsuan File Konfigurasi yang Digunakan untuk Memuat Terlebih Dahulu File Pustaka Bersama Linux	Model deteksi ancaman mendeteksi bahwa file konfigurasi yang digunakan untuk memuat library bersama Linux sedang dimanipulasi.
Lainnya	Pemutusan Abnormal Agen Security Center	Model deteksi ancaman mendeteksi bahwa proses utama AliYunDun dari agen Security Center di server Anda berhenti secara tidak normal dan agen tersebut terputus dari Alibaba Cloud. Pemutusan ini mungkin disebabkan oleh ketidakstabilan jaringan dan berlangsung selama periode waktu yang singkat. Penyebab potensial lainnya adalah bahwa agen Security Center telah di-uninstall dari server Anda setelah server diretas. Dalam kasus ini, Anda harus masuk ke server Anda dan memeriksa apakah agen Security Center sedang berjalan. Jika agen tidak berjalan, mulai agen tersebut.
Webshell	File Webshell	Model deteksi ancaman mendeteksi file webshell mencurigakan di server Anda. File webshell bisa menjadi file backdoor yang disisipkan dan digunakan oleh penyerang untuk mempertahankan izin setelah mereka menyusup ke situs web.
Logon Tidak Biasa	Masuk Menggunakan Alamat IP Jahat	Model deteksi ancaman mendeteksi bahwa alamat IP berbahaya digunakan untuk masuk ke server Anda. Alamat IP tersebut digunakan untuk memulai serangan. Jika Anda tidak melakukan operasi ini, kami sarankan Anda segera mengubah kata sandi yang digunakan untuk masuk ke instance Elastic Compute Service (ECS) Anda.
	Logon FTP Menggunakan Alamat IP Berbahaya	Model deteksi ancaman mendeteksi bahwa alamat IP jahat digunakan untuk masuk ke aplikasi FTP di server Anda. Alamat IP tersebut digunakan untuk memulai serangan. Jika Anda tidak melakukan operasi ini, kami sarankan Anda segera mengubah kata sandi yang digunakan untuk masuk ke aplikasi FTP.
	Logon MySQL Menggunakan Alamat IP Berbahaya	Model deteksi ancaman mendeteksi bahwa alamat IP berbahaya digunakan untuk masuk ke aplikasi MySQL di server Anda. Alamat IP tersebut digunakan untuk memulai serangan. Jika Anda tidak melakukan operasi ini, kami sarankan Anda segera mengubah kata sandi yang digunakan untuk masuk ke aplikasi MySQL.
	Masuk Server Menggunakan Akun Backdoor	Model deteksi ancaman mendeteksi bahwa seorang penyerang menyisipkan akun backdoor ke server Anda dan masuk ke server Anda menggunakan akun backdoor tersebut. Jika Anda tidak melakukan operasi ini, kami sarankan Anda segera menghapus akun backdoor tersebut.
	Logon Server Menggunakan Akun dengan Kata Sandi Lemah	Model deteksi ancaman mendeteksi bahwa akun dengan kata sandi lemah digunakan untuk masuk ke server Anda. Login ini mungkin dilakukan oleh Anda sendiri atau oleh penyerang. Dalam banyak kasus, penyerang membobol kata sandi lemah untuk menyusup ke server. Kami menyarankan Anda segera mengonfigurasi kata sandi yang kuat.
	Pemindaian Masuk Eksternal yang Mencurigakan	Model deteksi ancaman mendeteksi bahwa server Anda sering memulai serangan brute-force pada protokol seperti SSH, RDP, dan SMB. Penyebab potensialnya adalah server Anda telah diserang dan digunakan oleh penyerang untuk menyerang server lain.
	Logon dari Lokasi yang Tidak Biasa	Model deteksi ancaman mendeteksi bahwa server Anda telah masuk dari dua lokasi yang jauh satu sama lain dalam waktu singkat. Salah satu lokasi tersebut adalah lokasi masuk biasa Anda. Masuk dari lokasi berbeda menunjukkan bahwa salah satu permintaan masuk berasal dari lokasi yang tidak biasa, bukan lokasi biasa. Jika Anda tidak melakukan operasi ini, kami sarankan Anda segera mengubah kata sandi yang digunakan untuk masuk ke server.
	Masuk Menggunakan Akun yang Tidak Biasa	Model deteksi ancaman mendeteksi bahwa Anda menambahkan akun yang tidak biasa ke grup administrator dan akun tersebut digunakan untuk masuk ke server Anda. Jika Anda tidak melakukan operasi ini, kami sarankan Anda segera menghapus akun tersebut.
	Instance ECS Terganggu karena Serangan Brute-Force yang Dilakukan oleh Beberapa Pengguna Tidak Valid	Model deteksi ancaman mendeteksi bahwa beberapa pengguna tidak valid masuk ke server Anda menggunakan alamat IP yang sama. Jika Anda tidak melakukan operasi ini, kami sarankan Anda segera mengubah kata sandi yang digunakan untuk masuk ke instance ECS Anda.
	Instance ECS Terganggu karena Serangan Brute-Force pada RDP	Model deteksi ancaman mendeteksi bahwa server Anda sedang mengalami serangan brute-force pada RDP. Penyerang memecahkan kata sandi layanan RDP dan masuk ke server setelah beberapa kali percobaan.
	Log Masuk Instance ECS Melalui SSH Sebelum Eksekusi Urutan Perintah Mencurigakan	Model deteksi ancaman mendeteksi bahwa beberapa perintah jahat dijalankan di server Anda setelah alamat IP digunakan untuk masuk ke server. Penyebab potensialnya adalah kata sandi yang digunakan untuk masuk ke server Anda lemah atau telah bocor.
	Masuk ke Instance ECS dalam Rentang Waktu yang Tidak Biasa	Waktu saat servermasuk tidak berada dalam rentang waktu masuk yang Anda tentukan. Kami menyarankan Anda memeriksa apakah masuk tersebut valid.
	Masuk ke Instance ECS Menggunakan Akun yang Tidak Biasa	Akun yang digunakan untuk masuk ke server tidak sesuai dengan kondisi akun yang sah. Kami sarankan Anda memeriksa apakah proses masuk tersebut valid.
	Masuk ke Instance ECS Menggunakan Alamat IP yang Tidak Biasa	Alamat IP yang digunakan untuk masuk ke server tidak termasuk dalam alamat IP yang Anda tentukan. Kami menyarankan Anda memeriksa apakah login tersebut valid.
	Masuk ke Instance ECS dari Lokasi yang Tidak Biasa	Lokasi dari mana server masuk tidak berada dalam lokasi masuk yang Anda tentukan. Kami menyarankan Anda memeriksa apakah masuk tersebut valid.
Koneksi Jaringan Tidak Biasa	Penerusan Port	Model deteksi ancaman mendeteksi bahwa sebuah proses di server Anda mencoba untuk menyiapkan terowongan untuk pengalihan port. Penyebab potensialnya adalah penyerang telah menggunakan server Anda yang telah dikompromikan untuk menyerang server lain yang ditempatkan pada jaringan internal yang sama.
	Akses ke Nama Domain Berbahaya	Model deteksi ancaman menganalisis lalu lintas DNS dan mendeteksi bahwa server Anda menyelesaikan nama domain berisiko tinggi. Nama domain tersebut dapat menjadi nama domain berbahaya, seperti nama domain kontrol jarak jauh, nama domain organisasi botnet, atau alamat pool penambangan. Dalam kasus ini, penyerang mungkin telah menyusup ke server Anda dan mengeksploitasi server tersebut.
	Koneksi Arah Keluar Mencurigakan	Model deteksi ancaman mendeteksi bahwa server Anda mencoba mengakses sebuah situs web. Situs web tersebut mungkin terkait dengan alamat pool penambangan, backdoor C&C, dan nama domain organisasi botnet.
	Koneksi Reverse Shell Menggunakan Meterpreter	Model deteksi ancaman mendeteksi proses mencurigakan di server Anda. Proses tersebut mencoba membangun koneksi reverse shell untuk server penyerang guna melakukan lebih banyak operasi di server Anda dengan menggunakan Meterpreter. Untuk informasi lebih lanjut, lihat Deteksi reverse shell dari berbagai dimensi.
	Komunikasi dengan Kolam Penambangan	Model deteksi ancaman mendeteksi bahwa server Anda berkomunikasi dengan alamat IP dari kolam penambangan. Penyebab potensialnya adalah server Anda telah disusupi oleh penyerang dan digunakan untuk penambangan.
	Pemindaian Jaringan Internal	Model deteksi ancaman mendeteksi bahwa sebuah proses di server Anda memulai pemindaian terhadap port tertentu dari beberapa alamat IP internal dalam waktu singkat. Penyebab potensialnya adalah bahwa penyerang telah mencoba meluncurkan serangan pergerakan lateral setelah server dikompromikan.
	Serangan Pergerakan Lateral Mencurigakan pada Jaringan Internal	Model deteksi ancaman mendeteksi koneksi jaringan internal yang abnormal pada server Anda. Penyebab potensialnya adalah bahwa penyerang telah meluncurkan serangan pergerakan lateral pada jaringan internal setelah server dikompromikan.
	Traffic Tidak Normal	Model deteksi ancaman menganalisis lalu lintas pada server Anda dan mendeteksi lalu lintas abnormal. Lalu lintas abnormal dapat disebabkan oleh eksploitasi, komunikasi malware, pelanggaran data sensitif, serta proxy dan terowongan mencurigakan. Kami menyarankan Anda menangani lalu lintas tersebut berdasarkan detail peringatan.
	Koneksi Proaktif ke Sumber Unduhan Berbahaya	Model deteksi ancaman mendeteksi bahwa server Anda mencoba untuk terhubung ke sumber unduhan berbahaya menggunakan HTTP. Penyebab potensialnya adalah penyerang telah mengeksploitasi kata sandi lemah atau kerentanan eksekusi perintah untuk mengunduh file berbahaya dari server jarak jauh.
	Perintah Mencurigakan yang Dijalankan oleh Redis	Model deteksi ancaman mendeteksi bahwa layanan Redis di server Anda mengeksekusi pernyataan SQL jahat setelah penyerang terhubung ke layanan Redis. Dalam kasus ini, penyerang mungkin telah menguasai server Anda.
Akun Mencurigakan	Logon Sistem Menggunakan Akun Mencurigakan	Model deteksi ancaman mendeteksi bahwa seorang pengguna mencoba masuk ke sistem menggunakan akun yang tidak sah, akun bawaan sistem, atau akun penyerang. Proses masuk tersebut mungkin dilakukan oleh penyerang.

Peringatan untuk server Windows

Jenis Peringatan	Nama Peringatan	Deskripsi
Ketekunan	Item startup otomatis mencurigakan	Model deteksi ancaman mendeteksi bahwa beberapa item self-startup di server Anda mencurigakan. Item tersebut kemungkinan ditambahkan oleh malware atau penyerang untuk mencapai persistensi.
	Modifikasi Mencurigakan terhadap Konfigurasi Keamanan Sistem	Model deteksi ancaman mendeteksi keberadaan backdoor WMI atau bitsadmin di server Anda. Backdoor tersebut dapat ditinggalkan oleh penyerang untuk mempertahankan akses sistem setelah server dikompromikan.
	Kode abnormal dalam memori	Model deteksi ancaman mendeteksi bahwa data baris perintah proses di server Anda sangat mencurigakan. Hal ini mungkin terkait dengan trojan, virus, atau penyerang.
	Proses Tidak Normal	Model deteksi ancaman mendeteksi adanya proses abnormal dalam program yang sedang berjalan di server Anda. Proses-proses tersebut dapat berupa proses jahat atau proses yang memuat kode jahat.
	Konfigurasi registri tidak normal	Model deteksi ancaman mendeteksi konfigurasi registri mencurigakan di server Anda. Dalam banyak kasus, malware dapat memodifikasi beberapa konfigurasi registri utama untuk mencapai persistensi atau melakukan sabotase.
	Item startup otomatis tidak normal	Model deteksi ancaman mengidentifikasi item startup otomatis yang tidak normal di server Anda. Item tersebut kemungkinan ditambahkan oleh malware atau penyerang untuk memastikan persistensi.
	Cobalt Strike RAT	Model deteksi ancaman mendeteksi kode jahat Cobalt Strike RAT di dalam memori suatu proses pada server Anda. Proses tersebut bisa merupakan proses jahat atau proses yang telah disusupi oleh kode jahat.
Skrip Berbahaya	Eksekusi kode skrip berbahaya	Model deteksi ancaman mendeteksi eksekusi kode skrip jahat, seperti Bash, PowerShell, dan Python, di server Anda.
Skrip Berbahaya	Deteksi File Skrip Berbahaya	Model deteksi ancaman mendeteksi file skrip berbahaya di server Anda, yang mungkin disisipkan oleh penyerang yang menyusup. Kami menyarankan Anda melakukan langkah berikut: Periksa keabsahan konten file berdasarkan tag dari skrip berbahaya tersebut, lalu tangani file tersebut.
Malware	Malware	Model deteksi ancaman mendeteksi bahwa program jahat sedang berjalan di server Anda. Program jahat mencakup program dengan karakteristik perilaku berbahaya atau program pihak ketiga yang menyebabkan gangguan atau kerusakan.
	Akses ke Alamat IP Berbahaya	Model deteksi ancaman mendeteksi bahwa sebuah proses di server Anda mencoba terhubung ke alamat IP berbahaya. Alamat IP tersebut dapat berupa alamat IP dari server C&C atau alamat IP dari pool penambangan yang dieksploitasi oleh penyerang, dengan risiko tinggi. Proses ini kemungkinan adalah file berbahaya yang disisipkan oleh penyerang.
	Virus yang menular	Model deteksi ancaman mendeteksi bahwa virus infeksi sedang berjalan di server Anda. Virus infeksi merupakan jenis program jahat tingkat lanjut yang menulis kode berbahaya ke dalam file program normal untuk dieksekusi. Akibatnya, banyak program normal sering terinfeksi dan kemudian terdeteksi sebagai host virus.
	Alat Penyerang	Model deteksi ancaman mendeteksi alat-alat penyerang di server Anda. Alat-alat ini dieksploitasi oleh penyerang untuk menaikkan hak istimewa, mencuri data sensitif selama proses intrusi, menghapus perangkat lunak keamanan, atau memasukkan program backdoor setelah menyusup ke server.
	Program backdoor	Model deteksi ancaman mendeteksi bahwa program backdoor sedang berjalan di server Anda. Program backdoor adalah aplikasi persisten yang disisipkan ke dalam sistem dan dieksploitasi oleh penyerang untuk menyusup secara terus-menerus ke server.
	Program mencurigakan	Model deteksi ancaman mendeteksi bahwa program mencurigakan sedang berjalan di server Anda. Umumnya, program tersebut memiliki karakteristik kode jahat atau menunjukkan perilaku yang sangat mencurigakan sehingga perlu diklasifikasikan. Identifikasi program mencurigakan ini berdasarkan kode atau detail program.
	Ransomware	Model deteksi ancaman mendeteksi bahwa ransomware sedang berjalan di server Anda. Ransomware merupakan program jahat yang mengenkripsi dan mengunci semua file data penting di server untuk meminta tebusan.
	Eksploitasi	Model deteksi ancaman mendeteksi bahwa eksploitasi sedang berjalan di server Anda. Eksploitasi memanfaatkan kerentanan yang dikenal dalam sistem operasi dan aplikasi untuk meningkatkan hak istimewa, melakukan escape, serta mengeksekusi kode arbitrer.
	Trojan	Model deteksi ancaman mendeteksi trojan pada server Anda. Trojan merupakan program khusus yang dirancang untuk menyusup ke server. Setelah disisipkan ke dalam sistem secara terselubung, trojan tersebut mengunduh dan menjalankan program berbahaya.
	Cacing	Model deteksi ancaman mendeteksi bahwa cacing sedang berjalan di server Anda. Cacing adalah program yang mereplikasi dirinya untuk menyebar dari server yang terganggu ke server lain. Cacing dapat mengeksploitasi kerentanan dan meluncurkan serangan brute-force.
	Program penambangan	Model deteksi ancaman mendeteksi bahwa program penambangan sedang berjalan di server Anda. Program ini mengonsumsi sumber daya komputasi server untuk menambang cryptocurrency, menyebabkan utilisasi CPU yang sangat tinggi dan membawa risiko program jahat.
	Trojan yang bermutasi sendiri	Model deteksi ancaman mendeteksi bahwa trojan yang bermutasi sendiri sedang berjalan di server Anda. Trojan ini mengubah nilai hash filenya atau mereplikasi dirinya ke berbagai jalur, lalu beroperasi di latar belakang untuk menghindari pembersihan oleh sistem.
	Trojan DDoS	Model deteksi ancaman mendeteksi bahwa Trojan DDoS sedang berjalan di server Anda. Trojan DDoS merupakan program jahat yang digunakan untuk menerima instruksi dari server yang terganggu guna meluncurkan serangan DDoS terhadap server tertentu.
	Hashdump berjalan	Model deteksi ancaman mendeteksi bahwa malware seperti Windows Credentials Editor (WCE) dan minikazi sedang beroperasi di server Anda. Malware tersebut dapat mencuri nilai hash akun sistem, yang dapat menyebabkan kebocoran kata sandi.
Proses Mencurigakan	Pembuatan Tugas Terjadwal Mencurigakan di Windows	Model deteksi ancaman mendeteksi bahwa tugas terjadwal mencurigakan telah dibuat di server Anda. Penyebab potensialnya adalah malware atau penyerang yang membuat tugas tersebut untuk mempertahankan izin selama proses intrusi.
	Panggilan Alat Berisiko	Model deteksi ancaman mengidentifikasi panggilan mencurigakan ke alat berisiko di server Anda. Alat berisiko dapat dimanfaatkan sebagai proxy, terowongan, atau alat pemindaian oleh penyerang untuk menyusup ke server.
	Proses mencurigakan yang berjalan menggunakan WMIC	Model deteksi ancaman mendeteksi bahwa server Anda mencoba menggunakan WMIC untuk membuat dan menjalankan program. Penyebab potensialnya adalah penyerang telah membuat tugas WMIC untuk mempertahankan izin sistem setelah server disusupi.
	Koneksi ke sumber unduhan jahat	Model deteksi ancaman mendeteksi bahwa server Anda mencoba terhubung ke sumber unduhan jahat. Penyebab potensial termasuk penyerang yang mengeksploitasi kata sandi lemah atau kerentanan eksekusi perintah untuk mengunduh file jahat dari server jarak jauh.
	Perintah mencurigakan yang dijalankan oleh aplikasi berisiko tinggi	Model deteksi ancaman mendeteksi bahwa aplikasi berisiko tinggi di server Anda menjalankan perintah mencurigakan. Aplikasi tersebut dapat mencakup layanan web, layanan database, skrip, tugas terjadwal, atau item self-starting. Kemungkinan aplikasi ini telah disusupi dan digunakan oleh penyerang untuk menjalankan perintah jahat.
	Pembuatan file mencurigakan di aplikasi berisiko tinggi	Model deteksi ancaman mengidentifikasi bahwa layanan sensitif, seperti aplikasi web, membuat file atau skrip yang dapat dieksekusi di server Anda. Penyebab potensialnya adalah eksploitasi kerentanan oleh penyerang untuk menanamkan virus atau trojan ke server Anda.
	Operasi skrip mencurigakan	Model deteksi ancaman mengidentifikasi bahwa beberapa perintah terkait skrip yang dijalankan di server Anda tergolong sangat mencurigakan. Ancaman yang terdeteksi kemungkinan disebabkan oleh malware atau aktivitas penyerang.
	Jalur proses mencurigakan	Model deteksi ancaman mendeteksi bahwa proses di server Anda dimulai dari jalur tidak biasa, tempat perangkat lunak normal biasanya tidak diinstal. Proses tersebut kemungkinan adalah virus, trojan, atau alat yang dibawa oleh penyerang saat menyusup ke server Anda.
	Proses dengan nama file mencurigakan	Model deteksi ancaman mendeteksi bahwa file proses di server Anda memiliki ekstensi nama file yang mencurigakan atau meniru nama file sistem. Proses tersebut kemungkinan adalah virus, trojan, atau alat yang dibawa oleh penyerang saat menyusup ke server Anda.
	Pemantauan Port Mencurigakan	Model deteksi ancaman mendeteksi aktivitas pemantauan port mencurigakan pada server Anda. Setelah penyerang berhasil menyusup, mereka dapat menggunakan perangkat lunak seperti nc untuk memantau port. Melalui metode ini, penyerang menciptakan saluran komunikasi tersembunyi guna mencuri informasi dari server.
	Perintah mencurigakan	Model deteksi ancaman mendeteksi bahwa perintah pengumpulan informasi di server Anda mencurigakan atau terdapat panggilan antar proses yang berjalan mencurigakan. Hal ini mungkin terkait dengan trojan, virus, atau aktivitas penyerang.
	Eksekusi file mencurigakan	Model deteksi ancaman mendeteksi bahwa file di server Anda ditulis dan dieksekusi secara mencurigakan. File tersebut kemungkinan merupakan alat berbahaya yang diunduh dari sumber eksternal dan dieksekusi oleh penyerang.
	Modifikasi mencurigakan pada konfigurasi registri	Model deteksi ancaman mendeteksi bahwa sebuah proses mencoba memodifikasi konfigurasi registri di server Anda. Penyebab potensialnya meliputi penyerang yang menulis kode backdoor ke server atau memodifikasi konfigurasi sensitif setelah mendapatkan akses sistem.
	Urutan Perintah Mencurigakan	Model deteksi ancaman telah mengidentifikasi bahwa proses di server Anda menjalankan serangkaian perintah mencurigakan. Urutan ini serupa dengan pola perintah yang biasa digunakan oleh penyerang setelah berhasil menyusupi server. Disarankan untuk memeriksa proses induk dari perintah mencurigakan tersebut, karena kemungkinan proses induk tersebut adalah trojan kontrol jarak jauh, layanan web rentan, atau proses yang telah disisipi kode berbahaya.
	ProcDump untuk dump data	Model deteksi ancaman mendeteksi bahwa proses ProcDump sedang menyimpan data sensitif dari memori proses ke disk di server Anda. Operasi ini berpotensi menyebabkan pelanggaran data sensitif.
	Startup proses mencurigakan menggunakan BITSAdmin	Model deteksi ancaman mendeteksi bahwa alat BITSAdmin digunakan untuk memulai proses mencurigakan di server Anda. Penyebab potensialnya adalah penyerang menggunakan BITSAdmin untuk menyisipkan program jahat dan menjalankan perintah berbahaya.
	Pemuatan kode jahat melalui file sistem Windows	Model deteksi ancaman mengidentifikasi bahwa perintah jahat telah dijalankan di server Anda. Kemungkinan penyebabnya adalah penyerang memanfaatkan file sistem Windows untuk mengeksekusi kode jahat dan menghindari deteksi perangkat lunak keamanan.
	Modifikasi mencurigakan pada item self-startup	Model deteksi ancaman mendeteksi bahwa sebuah proses mencoba memodifikasi item self-startup di server Anda. Modifikasi ini kemungkinan dilakukan oleh penyerang atau trojan untuk mempertahankan akses sistem.
	Modifikasi atribut hanya-baca dan tersembunyi file menggunakan attrib.exe	Model deteksi ancaman mendeteksi bahwa suatu proses mencoba menggunakan attrib.exe untuk mengubah atribut hanya-baca dan tersembunyi file di server Anda.
	Penambahan item startup otomatis dalam registri sistem	Model deteksi ancaman mendeteksi bahwa sebuah program menambahkan item self-startup ke registri di server Anda. Program tersebut dapat berupa malware, perangkat lunak promosi dengan backdoor yang disisipkan, atau tugas persisten yang dimasukkan oleh penyerang setelah server disusupi. Namun, program ini juga mungkin digunakan oleh perangkat lunak normal untuk mencapai self-starting. Kami menyarankan Anda memverifikasi apakah program tersebut berasal dari sumber tepercaya.
	Unduhan file mencurigakan dari server remote ke disk menggunakan FTP	Model deteksi ancaman mendeteksi bahwa suatu proses mencoba mengunduh file mencurigakan dari server jarak jauh menggunakan FTP di server Anda.
	Penyalinan file mencurigakan ke disk menggunakan RDP	Model deteksi ancaman mendeteksi bahwa penyerang mencoba menyalin file mencurigakan ke server Anda melalui RDP. Penyebab potensialnya adalah penyerang telah mencuri atau memecahkan kata sandi RDP yang digunakan untuk mengakses server Anda.
	Penghapusan tidak normal file cadangan sistem	Model deteksi ancaman mendeteksi bahwa suatu proses mencoba menghapus file cadangan sistem dari server Anda. Penyebab potensialnya adalah ransomware yang menghapus file cadangan sistem untuk mencegah pemulihan file dan meminta tebusan.
	Penghapusan abnormal log sistem	Model deteksi ancaman mendeteksi bahwa sebuah proses mencoba menghapus log sistem. Penyebab potensialnya adalah malware atau penyerang yang menghapus log sistem untuk menghindari deteksi.
	Alat penyerang mencurigakan	Model deteksi ancaman mengidentifikasi bahwa beberapa perintah yang dijalankan di server Anda menyerupai alat yang umumnya digunakan oleh penyerang. Perintah tersebut kemungkinan dijalankan oleh penyerang selama proses intrusi.
	Eskalasi Hak Istimewa Mencurigakan di Windows	Model deteksi ancaman mendeteksi bahwa beberapa perintah yang dijalankan di server Anda tergolong sangat mencurigakan. Penyebab potensialnya adalah penyerang telah mengeksploitasi kerentanan sistem atau aplikasi Windows untuk meningkatkan hak istimewa.
	Operasi registri abnormal	Model deteksi ancaman mendeteksi bahwa beberapa perintah untuk mengelola registri Windows teridentifikasi mencurigakan. Penyebab potensialnya adalah malware atau penyerang yang telah memodifikasi konfigurasi registri tertentu setelah server disusupi.
	Panggilan mencurigakan terhadap alat ekspor database	Model deteksi ancaman menganalisis perilaku historis proses di server Anda untuk mendeteksi panggilan mencurigakan terhadap alat ekspor database. Penyebab potensialnya adalah penyerang telah mencuri data dari server setelah berhasil menyusup.
	Panggilan mencurigakan terhadap alat sistem	Model deteksi ancaman mendeteksi bahwa proses di server Anda memanggil alat sistem secara mencurigakan. Penyebab potensialnya adalah trojan atau penyerang yang memanggil alat tersebut untuk menjalankan operasi jahat, seperti unduhan file berbahaya, eksekusi kode berbahaya, enkripsi, dan dekripsi, guna menghindari deteksi perangkat lunak keamanan umum.
	Modifikasi mencurigakan pada konfigurasi keamanan sistem	Model deteksi ancaman mendeteksi bahwa suatu proses di server Anda telah memodifikasi konfigurasi keamanan sistem. Penyebab potensialnya meliputi malware atau penyerang yang mengubah konfigurasi firewall dan antivirus untuk menghindari deteksi.
	Ekseskusi perintah berbahaya	Model deteksi ancaman mendeteksi bahwa data baris perintah proses di server Anda mencurigakan dan kemungkinan terkait dengan trojan, virus, atau aktivitas penyerang.
	Perintah berbahaya yang dijalankan oleh Cobalt Strike	Model deteksi ancaman mendeteksi bahwa agen Cobalt Strike telah diinstal di server Anda dan menjalankan perintah berbahaya.
	Perintah mencurigakan yang dijalankan oleh aplikasi FTP	Model deteksi ancaman mendeteksi bahwa aplikasi FTP di server Anda menjalankan perintah mencurigakan. Penyebab potensialnya adalah penyerang telah mengeksploitasi kata sandi lemah pada aplikasi FTP dan menggunakan FTP untuk menjalankan file batch.
	Perintah mencurigakan yang dijalankan oleh aplikasi Java	Model deteksi ancaman mendeteksi bahwa proses Java di server Anda melakukan operasi berisiko tinggi, seperti mengunduh program jahat dan menambahkan backdoor. Penyebab potensialnya adalah penggunaan kerangka kerja web atau middleware yang rentan.
	Proses mencurigakan yang dijalankan oleh LSASS	Model deteksi ancaman mendeteksi bahwa proses lsass.exe menjalankan perintah mencurigakan di server Anda. Proses lsass.exe merupakan komponen otorisasi keamanan dalam sistem operasi Windows, yang bertanggung jawab untuk mengotentikasi pengguna dan menghasilkan token. Banyak kerentanan sistem dieksploitasi oleh penyerang untuk meluncurkan serangan luapan buffer terhadap proses ini, sehingga memungkinkan penyerang memperoleh kontrol penuh atas proses target.
	Perintah mencurigakan yang dijalankan oleh MySQL	Model deteksi ancaman mendeteksi bahwa layanan MySQL di server Anda menjalankan perintah mencurigakan. Penyebab potensial meliputi penggunaan kata sandi lemah pada layanan MySQL dan injeksi SQL pada layanan web.
	Perintah mencurigakan yang dijalankan oleh aplikasi PostgreSQL	Model deteksi ancaman mendeteksi bahwa aplikasi PostgreSQL di server Anda menjalankan perintah mencurigakan. Penyebab potensial meliputi penggunaan kata sandi lemah pada layanan PostgreSQL dan injeksi pernyataan SQL berbahaya pada layanan web.
	Ekseskusi perintah mencurigakan oleh aplikasi Python	Model deteksi ancaman mengidentifikasi bahwa aplikasi Python di server Anda menjalankan perintah mencurigakan. Penyebab potensialnya adalah kerentanan RCE pada aplikasi web berbasis Python di server Anda, yang mungkin telah disusupi.
	Perintah mencurigakan yang dijalankan oleh regsvr32	Model deteksi ancaman mengidentifikasi bahwa regsvr32.exe menjalankan perintah mencurigakan di server Anda. Penyebab potensialnya adalah penyusupan kode jahat ke file OCX Windows untuk menghindari deteksi, dengan memanfaatkan regsvr32.exe untuk mengeksekusi kode tersebut di memori server.
	Perintah mencurigakan yang dijalankan oleh rundll32	Model deteksi ancaman mengidentifikasi bahwa rundll32.exe menjalankan perintah mencurigakan di server Anda. Penyebab potensialnya adalah penyusupan kode jahat ke file DLL Windows oleh penyerang untuk menghindari deteksi, serta penggunaan rundll32.exe untuk mengeksekusi kode tersebut di memori server.
	Penulisan file mencurigakan ke disk oleh SQL Server	Model deteksi ancaman mendeteksi bahwa aplikasi SQL Server di server Anda mencoba menulis file mencurigakan ke disk. Penyebab potensialnya adalah penyerang telah memecahkan kata sandi lemah pada aplikasi Redis untuk mengeksekusi pernyataan SQL berbahaya dalam aplikasi SQL Server.
	Perintah mencurigakan yang dijalankan oleh aplikasi SQL Server	Model deteksi ancaman mendeteksi bahwa aplikasi SQL Server di server Anda menjalankan perintah mencurigakan. Penyebab potensialnya adalah penyerang telah memecahkan kata sandi lemah aplikasi SQL Server dan memanfaatkan komponen eksekusi perintah untuk menjalankan perintah jahat.
	Perintah mencurigakan yang dijalankan oleh Tomcat	Model deteksi ancaman mendeteksi bahwa kontainer Tomcat di server Anda menjalankan perintah mencurigakan. Penyebab potensialnya adalah penyerang telah mengeksploitasi webshell atau kerentanan RCE dalam aplikasi Java pada kontainer Tomcat untuk menjalankan perintah jahat.
	Modifikasi Konfigurasi Windows Defender	Model deteksi ancaman mendeteksi bahwa server Anda telah memodifikasi registri untuk menonaktifkan beberapa fitur Windows Defender. Modifikasi ini kemungkinan dilakukan oleh penyerang yang berusaha menghindari deteksi dan pencegahan setelah server disusupi.
	Modifikasi konfigurasi RDP Windows untuk port 3389	Model deteksi ancaman mendeteksi bahwa konfigurasi RDP server Anda telah dimodifikasi. Penyebab potensialnya adalah penyerang yang memodifikasi konfigurasi RDP untuk mempertahankan akses setelah server disusupi.
	Pembuatan Tugas Terjadwal di Windows	Model deteksi ancaman mendeteksi adanya tugas terjadwal mencurigakan yang sedang dibuat di server Anda. Penyebab potensialnya adalah penyisipan backdoor oleh penyerang untuk mempertahankan akses setelah server disusupi.
	Pembuatan item startup layanan mencurigakan di Windows	Model deteksi ancaman mendeteksi bahwa proses hulu mencoba membuat item startup layanan mencurigakan di server Anda. Penyebab potensialnya adalah penyisipan program jahat oleh penyerang di server Anda. Jika program jahat tersebut sedang berjalan, item startup layanan dibuat untuk mempertahankan izin.
	Pelanggaran Kredensial Logon di Windows	Model deteksi ancaman mendeteksi bahwa beberapa program di server Anda memodifikasi item WDigest dalam registri. Penyebab potensialnya adalah penyerang telah mengubah nilai UseLogonCredential untuk mengizinkan kredensial logon disimpan dalam teks biasa, sehingga memungkinkan penyerang mencuri kredensial logon dari memori server.
	Eksekusi perintah HTML menggunakan mshta di Windows	Model deteksi ancaman mendeteksi bahwa sebuah proses di server Anda mencoba memanggil mshta untuk mengeksekusi skrip yang tertanam dalam halaman HTML. Melalui metode ini, penyerang dapat menyisipkan program jahat ke dalam server.
	Penerusan Port Mencurigakan di Windows	Model deteksi ancaman mengidentifikasi bahwa perintah untuk penerusan port sedang dijalankan pada jaringan internal. Penyebab potensialnya adalah pelaku ancaman meluncurkan serangan pergerakan lateral di jaringan internal.
	Modifikasi Konfigurasi Windows Firewall	Model deteksi ancaman mendeteksi bahwa suatu proses mencoba memodifikasi konfigurasi Windows Firewall.
	Penambahan item self-startup di Windows	Model deteksi ancaman mendeteksi bahwa item self-startup abnormal telah ditambahkan ke server Anda. Penyebab potensialnya adalah penyerang yang menambahkan program jahat ke item self-startup untuk mempertahankan akses setelah server disusupi.
	Operasi Tidak Normal pada Akun Windows	Model deteksi ancaman mendeteksi bahwa akun Windows digunakan untuk menjalankan operasi pada server Anda, dan perintah yang dijalankan teridentifikasi mencurigakan. Penyebab potensialnya meliputi malware atau penyerang yang memanfaatkan akun Windows untuk melakukan operasi pada server.
Lainnya	Pemutusan abnormal agen Security Center	Model deteksi ancaman mendeteksi bahwa proses utama AliYunDun dari agen Security Center di server Anda telah berhenti secara tidak normal, sehingga memutuskan koneksi dengan Alibaba Cloud. Pemutusan ini dapat disebabkan oleh ketidakstabilan jaringan dan biasanya hanya berlangsung dalam waktu singkat. Penyebab lainnya adalah kemungkinan agen Security Center telah di-uninstall dari server setelah terjadinya penyusupan. Dalam situasi seperti ini, Anda harus masuk ke server untuk memeriksa apakah agen Security Center sedang berjalan. Jika agen tidak aktif, segera jalankan kembali agen tersebut.
Webshell	File Webshell	Model deteksi ancaman mendeteksi file webshell mencurigakan di server Anda. File webshell dapat berupa backdoor yang disisipkan oleh penyerang untuk mempertahankan akses setelah mereka berhasil menyusup ke situs web.
Logon Tidak Biasa	Logon menggunakan alamat IP jahat	Model deteksi ancaman mendeteksi bahwa alamat IP jahat digunakan untuk mengakses server Anda dan dapat menjadi indikasi upaya serangan. Jika Anda tidak melakukan aktivitas ini, segera ubah kata sandi yang digunakan untuk masuk ke instance ECS Anda.
	Logon FTP menggunakan alamat IP jahat	Model deteksi ancaman mendeteksi bahwa alamat IP jahat digunakan untuk mengakses aplikasi FTP di server Anda. Alamat IP tersebut terindikasi memulai serangan. Jika Anda tidak melakukan operasi ini, segera ubah kata sandi yang digunakan untuk masuk ke aplikasi FTP.
	Logon MySQL menggunakan alamat IP jahat	Model deteksi ancaman mendeteksi bahwa alamat IP jahat digunakan untuk masuk ke aplikasi MySQL di server Anda dan dapat memulai serangan. Jika Anda tidak melakukan operasi ini, segera ubah kata sandi yang digunakan untuk masuk ke aplikasi MySQL.
	Logon SQL Server menggunakan alamat IP jahat	Model deteksi ancaman mendeteksi bahwa alamat IP jahat digunakan untuk masuk ke aplikasi SQL Server di server Anda dan dapat memulai serangan. Jika Anda tidak melakukan operasi ini, segera ubah kata sandi yang digunakan untuk masuk ke aplikasi SQL Server.
	Logon server menggunakan akun backdoor	Model deteksi ancaman mendeteksi bahwa penyerang telah menyisipkan akun backdoor ke server Anda dan menggunakannya untuk masuk. Jika Anda tidak melakukan operasi ini, segera hapus akun backdoor tersebut.
	Logon server menggunakan akun dengan kata sandi lemah	Model deteksi ancaman mendeteksi bahwa akun dengan kata sandi lemah digunakan untuk mengakses server Anda. Logon ini bisa dilakukan oleh Anda atau oleh penyerang. Dalam banyak kasus, penyerang memanfaatkan kata sandi lemah untuk menyusup ke server. Kami menyarankan Anda segera mengonfigurasi kata sandi yang lebih kuat.
	Pemindaian logon eksternal mencurigakan	Model deteksi ancaman mendeteksi bahwa server Anda sering memulai serangan brute-force pada protokol seperti SSH, RDP, dan SMB. Penyebab potensialnya adalah server Anda telah disusupi dan digunakan oleh penyerang untuk menyerang server lain.
	Logon dari lokasi tidak biasa	Model deteksi ancaman mendeteksi bahwa server Anda diakses dari dua lokasi berjauhan dalam waktu singkat. Salah satu lokasi tersebut merupakan lokasi logon biasa Anda. Permintaan logon dari lokasi lain menunjukkan aktivitas dari lokasi tidak biasa. Jika Anda tidak melakukan operasi ini, segera ubah kata sandi yang digunakan untuk masuk ke server.
	Logon menggunakan akun tidak biasa	Model deteksi ancaman mendeteksi bahwa akun tidak biasa telah ditambahkan ke grup administrator dan digunakan untuk masuk ke server Anda. Jika Anda tidak melakukan operasi ini, segera hapus akun tersebut.
	Instance ECS terganggu akibat serangan brute-force yang dilakukan oleh beberapa pengguna tidak valid.	Model deteksi ancaman mendeteksi bahwa beberapa pengguna tidak valid mencoba masuk ke server Anda menggunakan alamat IP yang sama. Jika Anda tidak melakukan operasi ini, segera ubah kata sandi yang digunakan untuk mengakses instance ECS Anda.
	Instance ECS terganggu akibat serangan brute-force pada SSH.	Model deteksi ancaman mendeteksi bahwa server Anda sedang mengalami serangan brute-force pada SSH. Penyerang mencoba memecahkan kata sandi layanan SSH dan berhasil masuk ke server setelah beberapa percobaan.
	Logon instance ECS melalui SSH sebelum eksekusi urutan perintah mencurigakan.	Model deteksi ancaman mendeteksi bahwa beberapa perintah berbahaya dijalankan di server Anda setelah alamat IP digunakan untuk masuk ke server. Penyebab potensialnya adalah penggunaan kata sandi yang lemah atau telah bocor saat masuk ke server Anda.
	Logon ke instance ECS di luar rentang waktu yang tidak biasa	Waktu saat server masuk berada di luar rentang waktu logon yang telah Anda tentukan. Kami menyarankan Anda memverifikasi validitas logon tersebut.
	Masuk ke instance ECS menggunakan akun tidak biasa	Akun yang digunakan untuk mengakses server tidak memenuhi kriteria akun sah. Disarankan untuk memverifikasi validitas logon tersebut.
	Logon ke instance ECS menggunakan alamat IP tidak dikenal	Alamat IP yang digunakan untuk mengakses server tidak termasuk dalam daftar alamat IP yang telah Anda tentukan. Disarankan untuk memverifikasi validitas logon tersebut.
	Logon ke instance ECS dari lokasi tidak biasa	Lokasi logon server tidak termasuk dalam lokasi yang Anda tentukan. Disarankan untuk memverifikasi validitas logon tersebut.
Koneksi Jaringan Tidak Biasa	Penerusan Port	Model deteksi ancaman mendeteksi bahwa sebuah proses di server Anda mencoba membuat terowongan untuk penerusan port. Penyebab potensialnya adalah penyerang yang memanfaatkan server Anda yang terganggu untuk menyerang server lain dalam jaringan internal yang sama.
	Akses ke Nama Domain Jahat	Model deteksi ancaman menganalisis lalu lintas DNS dan mengidentifikasi bahwa server Anda meresolusi nama domain berisiko tinggi. Nama domain tersebut dapat mencakup nama domain jahat, seperti nama domain kontrol jarak jauh, nama domain organisasi botnet, atau alamat kolam penambangan. Dalam situasi ini, kemungkinan penyerang telah menyusup ke server Anda dan sedang mengeksploitasinya.
	Koneksi reverse shell menggunakan Meterpreter	Model deteksi ancaman mengidentifikasi proses mencurigakan di server Anda. Proses tersebut berupaya membuat koneksi reverse shell ke server penyerang untuk menjalankan lebih banyak operasi di server Anda menggunakan Meterpreter. Untuk informasi lebih lanjut, lihat Deteksi reverse shell dari banyak dimensi.
	Komunikasi dengan kolam penambangan	Model deteksi ancaman mendeteksi bahwa server Anda berkomunikasi dengan alamat IP yang terkait dengan kolam penambangan. Penyebab potensialnya adalah server Anda telah disusupi oleh penyerang dan digunakan untuk kegiatan penambangan.
	Pemindaian Jaringan Internal	Model deteksi ancaman mengidentifikasi bahwa sebuah proses di server Anda telah memulai pemindaian terhadap port tertentu dari beberapa alamat IP internal dalam waktu singkat. Penyebab potensialnya adalah upaya penyerang meluncurkan serangan pergerakan lateral setelah server disusupi.
	Pemindaian Port yang Mencurigakan dan Sensitif	Model deteksi ancaman mendeteksi bahwa sebuah proses di server Anda mengirimkan sejumlah besar permintaan jaringan ke port sensitif dalam waktu singkat, yang kemungkinan menunjukkan perilaku pemindaian port.
	Traffic abnormal	Model deteksi ancaman menganalisis traffic pada server Anda untuk mendeteksi traffic abnormal. Traffic tersebut dapat disebabkan oleh eksploitasi, komunikasi malware, pelanggaran data sensitif, serta proxy dan terowongan mencurigakan. Kami menyarankan Anda menindaklanjuti traffic ini berdasarkan detail peringatan yang diberikan.
	Koneksi proaktif ke sumber unduhan jahat	Model deteksi ancaman mendeteksi bahwa server Anda mencoba terhubung ke sumber unduhan jahat melalui HTTP. Penyebab potensialnya adalah penyerang yang mengeksploitasi kata sandi lemah atau kerentanan eksekusi perintah untuk mengunduh file jahat dari server jarak jauh.
	Koneksi Jaringan Tidak Normal di Windows	Model deteksi ancaman mendeteksi bahwa koneksi dari suatu proses di server Anda tidak biasa dan mungkin terkait dengan trojan, virus, atau penyerang.
Akun Mencurigakan	Login sistem menggunakan akun mencurigakan	Model deteksi ancaman mendeteksi bahwa pengguna mencoba masuk ke sistem menggunakan akun tidak sah, akun bawaan sistem, atau akun penyerang. Login tersebut kemungkinan dilakukan oleh penyerang.

Peringatan untuk Kontainer

Jenis Peringatan	Nama Peringatan	Deskripsi
Malware	Program jahat	Model deteksi ancaman mendeteksi bahwa program jahat sedang berjalan di server Anda. Program jahat adalah perangkat lunak dengan karakteristik perilaku berbahaya atau aplikasi pihak ketiga yang menyebabkan gangguan atau kerusakan.
	Akses ke alamat IP berbahaya	Model deteksi ancaman mendeteksi bahwa sebuah proses di server Anda mencoba terhubung ke alamat IP berbahaya. Alamat IP ini mungkin milik server C&C atau kolam penambangan yang dieksploitasi oleh penyerang, menunjukkan risiko tinggi. Proses tersebut kemungkinan adalah file berbahaya yang disisipkan oleh penyerang.
	Virus menular	Model deteksi ancaman mendeteksi bahwa virus menular sedang berjalan di server Anda. Virus ini adalah jenis malware tingkat lanjut yang menyisipkan kode berbahaya ke dalam file program normal untuk dieksekusi, menginfeksi banyak program yang kemudian terdeteksi sebagai host virus.
	Alat penyerang	Model deteksi ancaman mendeteksi alat penyerang di server Anda. Alat ini digunakan untuk menaikkan hak istimewa, mencuri data sensitif selama intrusi, menghapus perangkat lunak keamanan, atau bertindak sebagai backdoor setelah penyerang menyusup ke sistem.
	Program backdoor	Model deteksi ancaman mendeteksi bahwa program backdoor sedang berjalan di server Anda. Program ini bersifat persisten dan dieksploitasi oleh penyerang untuk terus mengakses server secara tidak sah.
	Program mencurigakan	Model deteksi ancaman mendeteksi bahwa program mencurigakan sedang berjalan di server Anda. Program ini sering memiliki karakteristik kode berbahaya atau perilaku mencurigakan yang memerlukan analisis lebih lanjut untuk klasifikasi.
	Ransomware	Model deteksi ancaman mendeteksi bahwa ransomware sedang berjalan di server Anda. Ransomware adalah malware yang mengenkripsi file data utama di server untuk meminta tebusan.
	Trojan	Model deteksi ancaman mendeteksi adanya trojan di server Anda. Trojan adalah program khusus yang digunakan untuk menyusup ke server Anda. Setelah terselubung di sistem, trojan tersebut mengunduh dan melepaskan malware tambahan.
	Worm	Model deteksi ancaman mendeteksi bahwa worm sedang berjalan di server Anda. Worm adalah program yang mereplikasi dirinya untuk menyebar dari satu server ke server lainnya, sering kali mengeksploitasi kerentanan atau meluncurkan serangan brute-force.
	Program penambangan	Model deteksi ancaman mendeteksi bahwa program penambangan sedang berjalan di server Anda. Program ini menggunakan sumber daya komputasi server untuk menambang cryptocurrency, menyebabkan penggunaan CPU yang sangat tinggi dan membawa risiko malware.
	Trojan yang dapat bermutasi sendiri	Model deteksi ancaman mendeteksi bahwa trojan yang dapat bermutasi sendiri sedang berjalan di server Anda. Trojan ini mengubah hash file-nya atau mereplikasi diri ke banyak jalur dan berjalan di latar belakang untuk menghindari deteksi dan pembersihan oleh sistem.
	DDoS trojan	Model deteksi ancaman mendeteksi bahwa trojan DDoS sedang berjalan di server Anda. Trojan ini digunakan untuk menerima instruksi dari server yang telah disusupi guna meluncurkan serangan DDoS terhadap target tertentu.
Proses Mencurigakan	Pemalsuan waktu file	Model deteksi ancaman mendeteksi bahwa sebuah proses di server Anda mencoba memodifikasi waktu file. Hal ini mungkin dilakukan oleh penyerang untuk memalsukan waktu pembuatan, akses, atau modifikasi file guna menghindari deteksi.
	Debugging API jarak jauh di Docker yang mungkin menimbulkan risiko keamanan	Model deteksi ancaman mendeteksi bahwa antarmuka debugging jarak jauh Docker terbuka ke 0.0.0.0 di server Anda. Antarmuka yang terpapar di Internet rentan terhadap serangan cacing. Pastikan antarmuka hanya terpapar pada jaringan tepercaya.
	Koneksi ke sumber unduhan berbahaya	Model deteksi ancaman mendeteksi bahwa server Anda mencoba terhubung ke sumber unduhan berbahaya. Penyebab potensialnya adalah penyerang telah mengeksploitasi kata sandi lemah atau kerentanan eksekusi perintah untuk mengunduh file berbahaya dari server jarak jauh.
	Perintah mencurigakan yang dijalankan oleh suatu proses	Model deteksi ancaman menganalisis perilaku historis sebuah proses di server Anda dan mendeteksi bahwa proses tersebut menjalankan perintah mencurigakan. Penyebab potensialnya adalah penyerang telah mengeksploitasi kerentanan RCE layanan untuk menjalankan perintah tersebut.
	Perintah terenkripsi yang mencurigakan	Model deteksi ancaman mendeteksi bahwa data baris perintah dari sebuah proses di server Anda sangat mencurigakan. Hal ini mungkin terkait dengan trojan, virus, atau aktivitas penyerang.
	Pemulaan mencurigakan dari sebuah container dengan hak istimewa	Model deteksi ancaman mendeteksi bahwa sebuah container dengan hak istimewa mencurigakan telah dimulai di server Anda, memengaruhi keamanan container. Jika container tersebut disusupi, aset di server juga akan terpengaruh. Pastikan container menggunakan sumber gambar tepercaya dan layanan di dalamnya dilindungi dari penyusupan.
	Eksekusi file mencurigakan	Model deteksi ancaman mendeteksi bahwa sebuah file di server Anda ditulis dan dieksekusi dengan cara mencurigakan. File tersebut mungkin merupakan alat berbahaya yang diunduh dari sumber eksternal dan dieksekusi oleh penyerang.
	Perilaku mencurigakan	Model deteksi ancaman menganalisis perilaku historis sebuah proses di server Anda dan mendeteksi perintah mencurigakan.
	Perilaku pemindaian jaringan kontainer	Model deteksi ancaman mendeteksi bahwa sebuah container di server Anda melakukan pemindaian jaringan mencurigakan. Pemindaian ini mungkin dilakukan oleh penyerang untuk membahayakan server Anda dan berpindah dari satu server ke server lainnya.
	Operasi terkait kontainer berisiko tinggi	Model deteksi ancaman mendeteksi bahwa operasi berisiko tinggi sedang dilakukan pada server Anda. Operasi ini mencakup startup container dengan izin berisiko tinggi dan pemetaan direktori, file, serta port sensitif ke container.
	Ekseskusi perintah mencurigakan di dalam kontainer	Model deteksi ancaman mendeteksi bahwa perintah mencurigakan dieksekusi di dalam container Anda, menunjukkan potensi intrusi.
	Pengumpulan kredensial di dalam kontainer	Model deteksi ancaman mendeteksi akses ke informasi dan file sensitif di dalam sebuah container, termasuk file konfigurasi Docker/Swarm/Kubernetes, konfigurasi koneksi database, kredensial login, pasangan AccessKey, Sertifikat, dan file kunci privat. Kami sarankan Anda memeriksa apakah container telah disusupi dan data telah bocor.
	Eskalasi hak istimewa dalam kontainer atau pelarian kontainer	Model deteksi ancaman mendeteksi skrip atau instruksi mencurigakan yang digunakan untuk menaikkan hak istimewa atau mengeksploitasi kerentanan dalam container Anda. Penyebab potensialnya adalah container Anda telah disusupi.
	Pengumpulan informasi kontainer	Model deteksi ancaman mendeteksi bahwa perintah mencurigakan dijalankan di dalam container pada server Anda. Perintah ini biasanya digunakan oleh penyerang untuk mengumpulkan informasi setelah container disusupi. Jika operasi ini bukan operasi tepercaya, segera reset container. Operasi tepercaya mencakup operasi perangkat lunak keamanan dan operasi O&M administrator.
	Pelaksanaan gambar kontainer yang berbahaya	Model deteksi ancaman mendeteksi bahwa sebuah citra container berbahaya sedang berjalan di server Anda. Citra ini mungkin berisi backdoor, program penambangan, virus, atau kerentanan parah yang diketahui. Kami sarankan Anda melakukan pemecahan masalah dan menggunakan sumber daya citra yang tepercaya.
	Operasi tidak normal pada file Docker	Model deteksi ancaman mendeteksi bahwa proses Docker di server Anda sedang memodifikasi konfigurasi layanan inti atau file sensitif sistem. Penyebab potensialnya adalah penyerang telah mengeksploitasi kerentanan dalam layanan Docker untuk membajak layanan dan meluncurkan serangan pelarian container, seperti CVE-2019-5736 Docker runC dan CVE-2019-14271 Docker CP. Periksa apakah versi Docker saat ini memiliki kerentanan semacam itu.
	Perintah mencurigakan yang dijalankan oleh aplikasi FTP	Model deteksi ancaman mendeteksi bahwa aplikasi FTP di server Anda menjalankan perintah mencurigakan. Penyebab potensialnya adalah penyerang telah mengeksploitasi kata sandi lemah di aplikasi FTP dan menggunakan FTP untuk menjalankan file batch.
	Perintah mencurigakan yang dijalankan oleh aplikasi Java	Model deteksi ancaman mendeteksi bahwa proses Java di server Anda melakukan operasi berisiko tinggi, seperti unduhan program jahat dan penambahan backdoor. Penyebab potensialnya adalah penggunaan kerangka kerja web atau middleware yang rentan.
	Perilaku tidak normal akun layanan Kubernetes	Model deteksi ancaman mendeteksi instruksi abnormal di dalam container Anda. Instruksi tersebut mencoba terhubung ke server API Kubernetes menggunakan akun layanan Kubernetes. Pastikan operasi ini tepercaya dan izin diberikan berdasarkan prinsip hak istimewa minimal untuk mencegah penyerang berpindah dari container yang disusupi ke container lainnya.
	Urutan perintah mencurigakan di Linux	Model deteksi ancaman mendeteksi bahwa sebuah proses di server Anda menjalankan serangkaian perintah mencurigakan. Perintah-perintah ini mirip dengan rangkaian perintah yang biasanya dijalankan oleh penyerang setelah server dikompromikan. Periksa proses induk dari perintah tersebut, yang mungkin merupakan trojan kontrol jarak jauh, layanan web rentan, atau proses yang telah disisipi kode berbahaya.
	Ekseskusi perintah mencurigakan di Linux	Model deteksi ancaman mendeteksi bahwa data baris perintah dari sebuah proses di server Anda sangat mencurigakan. Hal ini mungkin terkait dengan trojan, virus, atau aktivitas penyerang.
	Perintah mencurigakan yang dijalankan oleh Oracle	Model deteksi ancaman mendeteksi bahwa database Oracle di server Anda menjalankan perintah mencurigakan. Penyebab potensialnya adalah penyerang telah menjalankan perintah jarak jauh setelah kata sandi database Oracle bocor.
	Perintah mencurigakan yang dijalankan oleh Tomcat	Model deteksi ancaman mendeteksi bahwa kontainer Tomcat di server Anda menjalankan perintah mencurigakan. Penyebab potensialnya adalah penyerang telah mengeksploitasi webshell atau kerentanan RCE dalam aplikasi Java di kontainer Tomcat untuk menjalankan perintah jahat.
Perilaku Tidak Normal K8s	Pemulaan pod berdasarkan image yang berbahaya	Model deteksi ancaman mendeteksi bahwa sebuah pod yang berisi gambar berbahaya telah dimulai di kluster Kubernetes Anda. Periksa apakah gambar tersebut berasal dari sumber tepercaya dan proses di dalam pod memiliki program jahat, seperti backdoor dan program penambangan.
	Instruksi mencurigakan dijalankan pada server API Kubernetes	Model deteksi ancaman mendeteksi bahwa instruksi mencurigakan dijalankan pada server API Kubernetes Anda. Penyebab potensialnya adalah penyerang telah memperoleh dan menggunakan kredensial server API Anda. Periksa apakah server telah disusupi.
	Akses tidak normal ke Secrets dalam kluster Kubernetes	Model deteksi ancaman mendeteksi bahwa Secrets sedang dienumerasi di dalam kluster Kubernetes Anda. Penyebab potensialnya adalah penyerang mencuri informasi sensitif dari Secrets setelah kluster dikompromikan. Periksa apakah operasi ini dilakukan oleh program tepercaya atau administrator.
	Pemindahan akun layanan Kubernetes dari satu aplikasi ke aplikasi lain	Model deteksi ancaman mendeteksi bahwa salah satu akun layanan Anda meminta izin di luar baseline historis atau gagal otentikasi beberapa kali. Penyebab potensialnya adalah penyerang telah menyusup ke dalam pod dan menggunakan kredensial akun layanan untuk menyerang server API. Lakukan pemecahan masalah segera.
	Autentikasi berhasil untuk pengguna anonim dalam log API Kubernetes	Model deteksi ancaman menganalisis log API Kubernetes Anda dan mendeteksi bahwa pengguna anonim masuk ke kluster Kubernetes Anda. Pengguna anonim umumnya tidak digunakan untuk operasi dan pemeliharaan kluster. Jika kluster terpapar ke Internet, risiko tinggi terjadi. Periksa apakah operasi ini dilakukan oleh administrator tepercaya dan cabut izin akses pengguna anonim tersebut.
	Pemasangan direktori node sensitif	Model deteksi ancaman mendeteksi bahwa direktori atau file sensitif telah dipasang saat pod Anda mulai berjalan. Penyebab potensialnya adalah penyerang memasang file sensitif untuk melarikan diri dari lapisan pod ke lapisan node guna mencapai persistensi. Periksa apakah operasi ini dapat dipercaya.
Webshell	File Webshell	Model deteksi ancaman mendeteksi file webshell mencurigakan di server Anda. File ini bisa menjadi backdoor yang disisipkan dan digunakan oleh penyerang untuk mempertahankan akses setelah menyusup ke situs web.
Koneksi Jaringan Tidak Biasa	Koneksi arah keluar mencurigakan	Model deteksi ancaman mendeteksi bahwa server Anda mencoba mengakses sebuah situs web yang mungkin terkait dengan pool penambangan, backdoor C&C, atau nama domain organisasi botnet.
	Komunikasi dengan kolam penambangan	Model deteksi ancaman mendeteksi bahwa server Anda berkomunikasi dengan alamat IP dari kolam penambangan. Penyebab potensialnya adalah server Anda telah disusupi oleh penyerang dan digunakan untuk penambangan.
	Pemindaian jaringan internal	Model deteksi ancaman mendeteksi bahwa sebuah proses di server Anda memulai pemindaian terhadap port tertentu dari beberapa alamat IP internal dalam waktu singkat. Penyebab potensialnya adalah penyerang mencoba meluncurkan serangan pergerakan lateral setelah server dikompromikan.
	Perintah mencurigakan yang dijalankan oleh Redis	Model deteksi ancaman mendeteksi bahwa layanan Redis di server Anda mengeksekusi pernyataan SQL jahat setelah penyerang terhubung ke layanan Redis. Dalam kasus ini, penyerang mungkin telah menguasai server Anda.

Peringatan untuk Platform Alibaba Cloud

Jenis Peringatan	Nama Peringatan	Deskripsi
	Pencacahan Aturan Grup Keamanan yang Mencurigakan	Model deteksi ancaman mendeteksi bahwa akun Alibaba Cloud Anda telah mencacah kebijakan grup keamanan menggunakan API, yang bukan merupakan perilaku berfrekuensi tinggi. Penyebab potensialnya adalah penyerang telah memperoleh pasangan AccessKey Anda untuk melakukan operasi jahat.
	Pencacahan Pengguna yang Mencurigakan	Model deteksi ancaman mendeteksi bahwa akun Alibaba Cloud Anda mencacah semua pengguna menggunakan API, yang bukan merupakan perilaku berfrekuensi tinggi. Penyebab potensialnya adalah penyerang telah memperoleh pasangan AccessKey Anda untuk melakukan operasi jahat.
	Pencacahan Peran Tertentu yang Mencurigakan	Model deteksi ancaman mendeteksi bahwa akun Alibaba Cloud Anda menemukan peran tertentu menggunakan API, yang bukan merupakan perilaku berfrekuensi tinggi. Penyebab potensialnya adalah penyerang telah memperoleh pasangan AccessKey Anda untuk melakukan operasi jahat.
	Penghapusan Aturan Grup Keamanan yang Mencurigakan	Model deteksi ancaman mendeteksi bahwa akun Alibaba Cloud Anda menghapus aturan grup keamanan menggunakan API, yang bukan merupakan perilaku berfrekuensi tinggi. Penyebab potensialnya adalah penyerang telah memperoleh pasangan AccessKey Anda untuk melakukan operasi jahat.
	Modifikasi Aturan Grup Keamanan yang Mencurigakan	Model deteksi ancaman mendeteksi bahwa akun Alibaba Cloud Anda memodifikasi aturan grup keamanan menggunakan API, yang bukan merupakan perilaku berfrekuensi tinggi. Penyebab potensialnya adalah penyerang telah memperoleh pasangan AccessKey Anda untuk melakukan operasi jahat.
	Perubahan Kata Sandi ECS yang Mencurigakan	Model deteksi ancaman mendeteksi bahwa akun Alibaba Cloud Anda mengubah kata sandi instance ECS menggunakan API, yang bukan merupakan perilaku berfrekuensi tinggi. Penyebab potensialnya adalah penyerang telah memperoleh pasangan AccessKey Anda untuk melakukan operasi jahat.
	Penambahan Aturan Grup Keamanan yang Mencurigakan	Model deteksi ancaman mendeteksi bahwa akun Alibaba Cloud Anda menambahkan aturan grup keamanan menggunakan API, yang bukan merupakan perilaku berfrekuensi tinggi. Penyebab potensialnya adalah penyerang telah memperoleh pasangan AccessKey Anda untuk melakukan operasi jahat.
	Perintah Abnormal dari Cloud Assistant	Model deteksi ancaman mendeteksi bahwa akun Alibaba Cloud Anda menjalankan perintah berbahaya melalui API Cloud Assistant, yang bukan merupakan perilaku berfrekuensi tinggi. Penyebab potensialnya adalah penyerang telah memperoleh pasangan AccessKey Anda untuk melakukan operasi jahat.
	ActionTrail Dinonaktifkan	Model deteksi ancaman mendeteksi bahwa akun Alibaba Cloud Anda menonaktifkan ActionTrail menggunakan API. Penyebab potensialnya adalah penyerang telah menonaktifkan ActionTrail untuk mencegah perilaku jahat terekam. Kami menyarankan Anda tetap menjaga ActionTrail aktif demi keamanan.
	Pengiriman Log dari ActionTrail ke OSS Dinonaktifkan	Model deteksi ancaman mendeteksi bahwa akun Alibaba Cloud Anda menonaktifkan fitur pengiriman log dari ActionTrail ke OSS menggunakan API. Penyebab potensialnya adalah penyerang telah menonaktifkan fitur ini untuk mencegah perilaku jahat tercatat. Kami menyarankan Anda mengaktifkan kembali fitur pengiriman log dari ActionTrail ke Simple Log Service demi alasan keamanan.
	Pengiriman Log dari ActionTrail ke Simple Log Service Dinonaktifkan	Model deteksi ancaman mendeteksi bahwa akun Alibaba Cloud Anda menonaktifkan fitur pengiriman log dari ActionTrail ke Simple Log Service menggunakan API. Penyebab potensialnya adalah penyerang telah menonaktifkan fitur ini untuk mencegah perilaku jahat tercatat. Kami menyarankan Anda mengaktifkan kembali fitur pengiriman log dari ActionTrail ke Simple Log Service demi alasan keamanan.
	Akses Publik Tidak Biasa ke Database	Model deteksi ancaman mengidentifikasi bahwa Anda telah mengubah database agar dapat diakses secara publik. Kami menyarankan Anda memverifikasi apakah operasi ini disengaja.
	Traversal Izin Berbasis Peran yang Abnormal	Model deteksi mengidentifikasi bahwa Anda sedang melintasi kebijakan izin beberapa peran. Kami menyarankan Anda memverifikasi identitas operator.
	Traversal Kebijakan Izin untuk Satu Sub-Akun	Model deteksi mengidentifikasi bahwa Anda sedang melintasi kebijakan izin sub-akun dan kelompok pengguna terkait. Kami menyarankan Anda memverifikasi identitas operator.
	Traversal Kebijakan Izin untuk Beberapa Sub-Akun	Model deteksi mengidentifikasi bahwa Anda sedang melintasi kebijakan izin beberapa sub-akun. Kami menyarankan Anda memverifikasi identitas operator.
	Traversal Izin untuk Bucket OSS	Model deteksi mengidentifikasi bahwa Anda sedang melintasi izin akses untuk berbagai bucket OSS. Kami menyarankan Anda memverifikasi identitas operator.
	Traversal Sumber Daya RDS	Model deteksi mengidentifikasi bahwa Anda sedang melintasi instance RDS di berbagai wilayah. Kami menyarankan Anda memverifikasi identitas operator.
	Traversal Sumber Daya ECS	Model deteksi mengidentifikasi bahwa Anda sedang melintasi instance ECS di berbagai wilayah. Kami menyarankan Anda memverifikasi identitas operator.
	Pembuatan Sub-Akun Privileged yang Abnormal	Model deteksi mengidentifikasi bahwa Anda telah membuat sub-akun dengan izin administrator dan mengaktifkan logon konsol Web.
	Pembuatan Peran Privileged yang Abnormal	Model deteksi mengidentifikasi bahwa peran RAM yang Anda buat dapat digunakan lintas akun dan telah diberikan izin administrator.
	Identitas Mencurigakan Memanggil API Sensitif	Model deteksi mengidentifikasi bahwa akun Anda telah memanggil API sensitif. Kami menyarankan Anda memverifikasi identitas pengguna.
	Kredensial Peran Instance ECS Diakses oleh Sumber Eksternal	Model deteksi mengidentifikasi bahwa kredensial peran instance ECS Anda diakses oleh IP eksternal, kemungkinan besar menunjukkan kebocoran kredensial.
	Kredensial Peran ECS Diakses oleh Akun Alibaba Cloud Lain	Model deteksi mengidentifikasi bahwa kredensial peran instance ECS Anda diakses oleh akun Alibaba Cloud lain.
	Identitas Mencurigakan Memanggil API Sensitif Setelah Mengakses Kredensial Peran ECS	Model deteksi mengidentifikasi bahwa setelah mengakses kredensial peran instance ECS, Anda memanggil API sensitif. Kami menyarankan Anda menyelidiki legitimasi operasi tersebut.
	Pengguna RAM Masuk ke Konsol dan Melakukan Operasi Sensitif	Model deteksi mengidentifikasi bahwa pengguna RAM telah masuk ke Konsol Web dan melakukan operasi sensitif.
	Alat Hacker Menggunakan AccessKey	Model deteksi mengidentifikasi bahwa AccessKey Anda digunakan oleh alat hacker.
	Deteksi Izin Abnormal	Model deteksi mengidentifikasi bahwa Anda sedang melintasi izin pemanggilan API untuk berbagai layanan cloud. Kami menyarankan Anda memverifikasi identitas operator.
	Alamat IP Jahat Menggunakan AccessKey	Alamat IP jahat terdeteksi memanggil AccessKey Anda. Jika Anda yakin bahwa operasi ini tidak dilakukan oleh Anda, segera nonaktifkan dan ganti AccessKey Anda.
	Panggilan API Mencurigakan	Model deteksi mengidentifikasi bahwa akun Anda melakukan operasi API mencurigakan, kemungkinan besar menunjukkan pencurian.
	Logon Sub-Akun RAM dari Lokasi Berbeda	Model deteksi mengidentifikasi bahwa sub-akun RAM Anda masuk dari lokasi berbeda, kemungkinan besar menunjukkan pencurian.
	Akses Mencurigakan ke OSS	Model deteksi mengidentifikasi akses mencurigakan ke bucket OSS Anda.

Peringatan yang Dihasilkan dengan Menganalisis Lalu Lintas

Jenis Peringatan	Nama Peringatan	Deskripsi
Koneksi Jaringan Tidak Biasa	Akses ke nama domain berbahaya	Model deteksi ancaman menganalisis lalu lintas DNS dan mendeteksi bahwa server Anda menyelesaikan nama domain berisiko tinggi. Nama domain tersebut mungkin merupakan nama domain berbahaya, seperti nama domain kontrol jarak jauh, nama domain organisasi botnet, atau alamat kolam penambangan. Dalam hal ini, penyerang mungkin telah menyusup ke server Anda dan mengeksploitasi server tersebut.
	Koneksi reverse shell menggunakan Meterpreter	Model deteksi ancaman mendeteksi proses mencurigakan di server Anda. Proses tersebut mencoba membangun koneksi reverse shell untuk server penyerang agar dapat melakukan lebih banyak operasi di server Anda dengan menggunakan Meterpreter.
	Komunikasi dengan kolam penambangan	Model deteksi ancaman mendeteksi bahwa server Anda berkomunikasi dengan alamat IP dari kolam penambangan. Penyebab potensialnya adalah server Anda telah disusupi oleh penyerang dan digunakan untuk penambangan.
	Traffic abnormal	Model deteksi ancaman menganalisis traffic pada server Anda dan mendeteksi traffic abnormal. Traffic abnormal dapat disebabkan oleh eksploitasi, komunikasi malware, pelanggaran data sensitif, serta proxy dan terowongan mencurigakan. Kami menyarankan Anda menangani traffic tersebut berdasarkan rincian peringatan.
	Koneksi proaktif ke sumber unduhan berbahaya	Model deteksi ancaman mendeteksi bahwa server Anda mencoba untuk terhubung ke sumber unduhan berbahaya menggunakan HTTP. Penyebab potensialnya adalah penyerang telah mengeksploitasi kata sandi lemah atau kerentanan eksekusi perintah untuk mengunduh file berbahaya dari server jarak jauh.
	Perintah mencurigakan dijalankan oleh Redis	Model deteksi ancaman mendeteksi bahwa layanan Redis di server Anda mengeksekusi pernyataan SQL jahat setelah penyerang terhubung ke layanan Redis. Dalam kasus ini, penyerang mungkin telah menguasai server Anda.
Pendeteksian Ancaman Aplikasi Web	Injeksi SQL	Model deteksi ancaman menganalisis lalu lintas HTTP dan mendeteksi bahwa layanan Web di server Anda diduga memiliki kerentanan injeksi SQL dan telah dieksploitasi oleh penyerang.
	Eksploitasi berhasil terhadap kerentanan berisiko tinggi	Model deteksi ancaman menganalisis lalu lintas HTTP dan mendeteksi bahwa server Anda memiliki kerentanan web berisiko tinggi, yang telah dieksploitasi oleh penyerang.
	Keamanan kebocoran file sensitif	Model deteksi ancaman menganalisis lalu lintas HTTP dan mendeteksi bahwa file sensitif di server Anda diakses oleh alamat IP eksternal melalui HTTP. Hal ini dapat menyebabkan pelanggaran data.
	Serangan yang dicurigai terhadap layanan web	Model deteksi ancaman mendeteksi bahwa log permintaan HTTP yang dihasilkan di server Anda mencakup baris perintah dan log respons HTTP mencakup keluaran perintah. Penyebab potensialnya adalah kerentanan eksekusi perintah telah terdeteksi pada layanan web Anda dan telah dieksploitasi oleh penyerang.

Peringatan yang Dihasilkan dengan Menganalisis Konten File

Jenis Peringatan	Nama Peringatan	Deskripsi
Persistensi	Tugas Terjadwal Mencurigakan di Linux	Model deteksi ancaman mendeteksi tugas terjadwal mencurigakan di server Anda. Tugas tersebut mungkin merupakan perilaku persisten yang ditinggalkan oleh penyerang di server Anda.
Skrip Jahat	Deteksi File Skrip Jahat	Model deteksi ancaman mendeteksi file skrip jahat di server Anda. File tersebut mungkin disisipkan oleh penyerang yang menyusup ke server Anda. Kami menyarankan Anda melakukan operasi berikut: Periksa apakah konten file sah berdasarkan tag skrip jahat. Kemudian, tangani file tersebut.
Malware	Perangkat Lunak Dasar yang Tercemar	Model deteksi ancaman mendeteksi perangkat lunak dasar yang tercemar di server Anda. Dalam banyak kasus, perangkat lunak dasar yang tercemar adalah program sistem yang kode jahat disuntikkan ke dalamnya. Meskipun perangkat lunak dasar yang tercemar menawarkan fitur dasar, ia diam-diam melakukan perilaku jahat.
	Program Jahat	Model deteksi ancaman mendeteksi bahwa program jahat sedang berjalan di server Anda. Program jahat adalah program yang memiliki berbagai karakteristik perilaku jahat, atau program pihak ketiga yang menyebabkan gangguan atau kerusakan.
	Virus Infektif	Model deteksi ancaman mendeteksi bahwa virus infektif sedang berjalan di server Anda. Virus infektif adalah jenis program jahat tingkat lanjut. Virus itu sendiri menulis kode jahat ke dalam file program normal untuk dieksekusi. Oleh karena itu, sejumlah besar program normal sering terinfeksi dan kemudian terdeteksi sebagai host virus.
	Alat Penyerang	Model deteksi ancaman mendeteksi alat penyerang di server Anda. Alat penyerang adalah alat yang dieksploitasi oleh penyerang untuk meningkatkan hak istimewa dan mencuri data sensitif selama proses intrusi, program yang digunakan untuk menghapus perangkat lunak keamanan, atau program backdoor yang disisipkan ke dalam sistem setelah penyerang menyusup ke server Anda.
	Program Backdoor	Model deteksi ancaman mendeteksi bahwa program backdoor sedang berjalan di server Anda. Program backdoor adalah program persisten yang disisipkan ke dalam sistem dan dieksploitasi oleh penyerang untuk terus-menerus menyusup ke server.
	Program Mencurigakan	Model deteksi ancaman mendeteksi bahwa program mencurigakan sedang berjalan di server Anda. Dalam banyak kasus, program mencurigakan memiliki karakteristik kode jahat atau memiliki karakteristik program yang sangat mencurigakan dan perlu diklasifikasikan. Anda harus menentukan program mencurigakan berdasarkan kode atau detail program.
	Ransomware	Model deteksi ancaman mendeteksi bahwa ransomware sedang berjalan di server Anda. Ransomware adalah program jahat yang mengenkripsi dan mengunci semua file data kunci di server untuk mendapatkan tebusan.
	Trojan	Model deteksi ancaman mendeteksi trojan di server Anda. Trojan adalah program khusus yang digunakan untuk menyusup ke server Anda. Setelah trojan disisipkan ke dalam sistem secara menyamar, trojan tersebut mengunduh dan melepaskan program jahat.
	Cacing	Model deteksi ancaman mendeteksi bahwa cacing sedang berjalan di server Anda. Cacing adalah jenis program yang mereplikasi dirinya sendiri untuk menyebar dari server yang terganggu ke server lain. Cacing dapat mengeksploitasi kerentanan dan meluncurkan serangan brute-force.
	Program Penambangan	Model deteksi ancaman mendeteksi bahwa program penambangan sedang berjalan di server Anda. Program penambangan adalah jenis program yang mengonsumsi sumber daya komputasi server dan menambang cryptocurrency. Jenis program ini menyebabkan utilisasi CPU sangat tinggi dan membawa program jahat.
	Trojan yang Bermutasi Sendiri	Model deteksi ancaman mendeteksi bahwa trojan yang bermutasi sendiri sedang berjalan di server Anda. Trojan yang bermutasi sendiri mengubah nilai hash filenya atau mereplikasi dirinya ke banyak jalur dan berjalan di latar belakang. Dengan cara ini, ia menghindari dibersihkan oleh sistem.
	DDoS trojan	Model deteksi ancaman mendeteksi bahwa trojan DDoS sedang berjalan di server Anda. Trojan DDoS adalah program jahat yang digunakan untuk menerima instruksi dari server yang telah diretas guna meluncurkan serangan DDoS terhadap server tertentu.
	Rootkit	Model deteksi ancaman mendeteksi rootkit di server Anda. Rootkit adalah modul jahat yang disisipkan ke dalam sistem dasar. Rootkit digunakan untuk menyembunyikan jejaknya sendiri atau program jahat lainnya.
Webshell	File Webshell	Model deteksi ancaman mendeteksi file webshell mencurigakan di server Anda. File webshell mungkin merupakan file backdoor yang disisipkan dan digunakan oleh penyerang untuk mempertahankan izin setelah mereka menyusup ke situs web.

Peringatan Terkait Malware Tanpa File

Jenis Peringatan	Nama Peringatan	Deskripsi
Persistensi	Backdoor Mencurigakan	Model deteksi ancaman mendeteksi backdoor WMI atau bitsadmin di server Anda. Backdoor tersebut kemungkinan ditinggalkan oleh penyerang untuk mempertahankan akses sistem setelah server disusupi.
	Instruksi Jahat di Memori	Model deteksi ancaman mendeteksi instruksi jahat di memori proses pada server Anda. Proses tersebut mungkin malware yang ditanamkan oleh penyerang atau proses yang telah disisipi kode berbahaya.
	Konfigurasi Registri Mencurigakan	Model deteksi ancaman mendeteksi konfigurasi registri mencurigakan di server Anda. Dalam banyak kasus, beberapa konfigurasi registri utama dimodifikasi oleh malware untuk mencapai persistensi atau melakukan sabotase.
	Kode Jahat Cobalt Strike RAT	Model deteksi ancaman mendeteksi keberadaan kode jahat Cobalt Strike RAT di memori proses pada server Anda. Proses tersebut kemungkinan merupakan proses berbahaya atau telah disisipi kode jahat.
Skrip Jahat	Ekseskusi Kode Skrip Jahat	Model deteksi ancaman mendeteksi bahwa kode skrip jahat, seperti Bash, PowerShell, dan Python, dieksekusi di server Anda.
Proses Mencurigakan	Perintah Mencurigakan oleh Proses	Model deteksi ancaman secara otomatis menganalisis perilaku historis proses di server Anda dan mendeteksi bahwa proses tersebut menjalankan perintah mencurigakan. Penyebab potensialnya adalah penyerang mengeksploitasi kerentanan RCE layanan untuk menjalankan perintah tersebut.
	Upaya Modifikasi Registri	Model deteksi ancaman mendeteksi bahwa sebuah proses mencoba memodifikasi konfigurasi registri di server Anda. Penyebab potensialnya adalah penyerang menulis kode backdoor atau memodifikasi konfigurasi sensitif setelah mendapatkan akses sistem.
	Operasi Berisiko oleh Proses Java	Model deteksi ancaman mendeteksi bahwa proses Java di server Anda melakukan operasi berisiko tinggi, seperti mengunduh program jahat atau menambahkan backdoor. Penyebab potensialnya adalah penggunaan kerangka kerja web atau middleware yang rentan.
	Tugas Terjadwal dengan Perintah Mencurigakan	Model deteksi ancaman mendeteksi bahwa tugas terjadwal di server Anda menjalankan perintah mencurigakan. Penyebab potensialnya adalah penyerang menulis perintah jahat dalam tugas terjadwal untuk mempertahankan akses setelah penyusupan.
	Perintah Mencurigakan oleh Aplikasi Python	Model deteksi ancaman mendeteksi bahwa aplikasi Python di server Anda menjalankan perintah mencurigakan. Penyebab potensialnya adalah aplikasi web berbasis Python memiliki kerentanan RCE dan telah disusupi.
	Perintah Mencurigakan oleh Kontainer Tomcat	Model deteksi ancaman mendeteksi bahwa kontainer Tomcat di server Anda menjalankan perintah mencurigakan. Penyebab potensialnya adalah penyerang mengeksploitasi webshell atau kerentanan RCE dalam aplikasi Java untuk menjalankan perintah jahat.