无代理检测功能采用Agentless技术,为您提供无需安装客户端,即可扫描发现云服务器ECS安全风险的能力。该功能支持对关机、空闲、高负载下的云服务器ECS提供从漏洞、恶意文件、基线配置多方位且无入侵的安全检测,对服务器性能影响为零。本文介绍如何使用无代理检测功能。
应用场景
- 对云服务器ECS系统盘进行全面的安全检测。
- 在不安装云安全中心Agent的情况下对云服务器ECS进行安全检测。
使用限制
- 仅支持检测华东1(杭州)、华东2(上海)、华北2(北京)、华南1(深圳)、中国香港、新加坡地域下的云服务器ECS,部署在其余地域的ECS服务器和所有的非阿里云服务器暂不支持检测。
- 不支持检测操作系统为FreeBSD的云服务器ECS。
- 支持检测云服务器ECS的系统盘和数据盘,不支持扫描使用了LVM(逻辑卷管理)、RAID(磁盘阵列)和ReFS(复原文件系统)的数据盘。
- 仅支持检测云服务器ECS中的漏洞、基线配置、恶意文件,不支持修复。支持的检测项详情,请参见支持的检测项说明。
计费说明
无代理检测功能本身不收取费用,您只需为创建的自定义镜像付费。计费的更多信息,请参见镜像计费。
公测申请
无代理检测功能公测中,仅支持高级版、企业版和旗舰版用户免费使用。免费版和防病毒版用户需升级到高级版、企业版或旗舰版才能使用该功能。
在云安全中心版本满足要求时,您在无代理检测页面单击立即申请,即可使用该功能。
步骤一:创建检测任务
- 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。在左侧导航栏,选择。
- 在无代理检测页面,单击创建检测任务。
- 在创建检测任务面板,完成任务配置。
- 选中需要检测的服务器,并单击下一步。
- 设置镜像保存天数,并单击下一步。创建镜像会收取相关费用,镜像保存天数越多收费越高。计费的更多信息,请参见镜像计费。
创建任务后,云安全中心会自动创建镜像,并在镜像创建完成后扫描镜像。根据需要扫描的服务器数量不同,完成扫描任务所需的时间不同,您可以单击前往任务列表,查看检测任务的进度。
步骤二:查看检测结果
无代理检测页面展示所有已检测云服务器ECS的安全风险。如果同一云服务器ECS被多次检测,最近一次的检测结果会覆盖之前的检测结果。
您可以在无代理检测页面,查看检测出的漏洞、基线检查和恶意样本风险。单击目标风险项操作列的查看可查看风险项详情。
支持的检测项说明
漏洞检查项
支持检测应用漏洞和系统漏洞。仅支持对Linux系统的云服务器ECS进行漏洞检测,不支持检测Windows系统的云服务器ECS。
基线检查项
| 基线分类 | 基线检查项名称 |
| 身份鉴别 | 确保root是唯一用户ID为0的账户 |
| 确保不存在重复的用户名或用户ID | |
| 确保不存在重复用户组或GID | |
| 确保系统不存在空密码账户 | |
| 确保不存在相同密码Hash的账户 | |
| 确保使用强密码哈希算法 | |
| AccessKey泄漏 | AccessKey泄漏 |
| 密码 | 密码泄漏 |
| 未授权访问 | CouchDB未授权访问配置风险 |
| ES未授权访问配置风险 | |
| Hadoop未授权访问配置风险 | |
| Jenkins未授权访问配置风险 | |
| Postgresql未授权访问配置风险 | |
| 弱口令 | Redis弱口令配置 |
| Rsync弱口令配置 | |
| SVN弱口令配置 | |
| Tomcat弱口令配置 |
恶意样本
| 恶意样本分类 | 说明 | 支持的检测项 |
| WebShell | 检查资产中的Web脚本文件是否是恶意的,是否存在后门通信、管理功能。攻击者植入WebShell后,可以控制服务器,作为后门载体来达到进一步攻击利用的目的。 | 支持检测的语言包括PHP、JSP、ASP、ASPX等。 |
| 二进制 | 检查资产中的二进制类型文件是否是恶意的,是否存在对资产造成破坏、持久化控制的能力。攻击者植入恶意二进制文件后,可以控制服务器,用于挖矿、DDoS攻击,或者加密资产文件等。恶意二进制按功能主要包括挖矿程序、木马程序、后门程序、黑客工具、勒索病毒、蠕虫病毒等。 | 被污染的基础软件 |
| 可疑程序 | ||
| 间谍软件 | ||
| 木马程序 | ||
| 感染型病毒 | ||
| 蠕虫病毒 | ||
| 漏洞利用程序 | ||
| 自变异木马 | ||
| 黑客工具 | ||
| DDoS木马 | ||
| 反弹Shell后门 | ||
| 恶意程序 | ||
| Rootkit | ||
| 下载器木马 | ||
| 扫描器 | ||
| 风险软件 | ||
| 代理工具 | ||
| 勒索病毒 | ||
| 后门程序 | ||
| 挖矿程序 |