云安全中心支持实时检测资产中的安全告警事件,覆盖网页防篡改、进程异常、网站后门、异常登录、恶意进程等安全告警类型。通过威胁检测模型,提供全面的安全告警类型检测,帮助您及时发现资产中的安全威胁,实时掌握资产的安全态势。
背景信息
安全告警事件是指云安全中心检测到的您服务器或者云产品中存在的威胁,例如某个恶意IP对资产攻击、资产已被入侵的异常情况等。
您可以在检测响应 > 安全告警页面云工作负载保护平台(CWPP)页签查看资产中检测出的安全告警事件。如果您已开通威胁分析与响应功能,您需要在威胁分析与响应 > 安全告警页面云工作负载保护平台(CWPP)页签,查看安全告警事件。
网页防篡改是云安全中心的增值服务,需要您单独购买并开通后才会开启。更多信息,请参见网页防篡改。
安全威胁防御限制说明
云安全中心支持安全告警实时检测与处理、漏洞检测与一键修复、攻击分析、云安全态势管理等功能,结合告警关联分析和攻击自动化溯源,帮助您全面加固系统和资产的安全防线。在云安全中心提供的防御能力以外,建议您定期更新服务器安全系统补丁、配合使用云防火墙、Web应用防火墙等产品缩小网络安全威胁的攻击范围,实时预防,不让黑客有任何可乘之机。
已安装云安全中心客户端的服务器重新启动后,云安全中心的防御进程需要一定时间才能生效,在防御未生效期间云安全中心将无法拦截勒索病毒、DDoS木马等威胁。
由于网络攻击手段、病毒样本在不断演变,实际的业务环境也有不同差异,因此云安全中心无法保证能实时检测防御所有的未知威胁,建议您基于安全告警、漏洞、云安全态势管理等安全能力,提升整体安全防线,预防黑客入侵、盗取或破坏业务数据。
威胁检测模型介绍
云安全中心通过380+威胁检测模型提供全面的威胁检测能力。您可以在安全告警页面,单击左上角
图标,查看云安全中心提供的威胁检测模型。威胁检测从初始入口、代码执行、持久化、权限提升、防御绕过等12个阶段,提供全链路的云上威胁检测。
如果您开通了威胁分析与响应的多账号安全管理,您需要在安全告警页面切换到当前账号视图,才能查看云安全中心的威胁检测模型入口。
安全告警风险等级的分类
云安全中心对安全告警风险等级的分类如下:
风险等级 | 描述 |
紧急 | 该告警所描述的行为,与常见的攻击者行为相似,对您的资产有破坏性或者持久性的影响,例如“反弹Shell命令”等。该风险等级表示您的资产很有可能正在受到攻击,建议您立即查看安全告警的详情并及时进行处理。 |
可疑 | 该告警所描述的行为,对您的资产有破坏性或者持久性的影响,但该行为可能与部分运维行为较为相似,例如“可疑的添加用户行为”等,或者该告警所描述的行为是攻击路径上的非必经路径,即使缺失这些行为也不影响攻击者达到其目的,例如“攻击痕迹清理”等。该风险等级表示您的资产有一定概率正在受到攻击,建议您查看该安全告警,进一步判断是否存在风险并进行相应处理。 |
提醒 | 该告警所描述的行为是攻击路径上的非必经路径,即使缺失这些行为也不影响攻击者达到其目的,同时该行为可能会与部分运维行为较为相似,如“可疑的端口监听行为”等。如果您对您的资产的安全等级要求较高,可以关注该等级的安全告警。 |
安全告警统计数据介绍
云安全中心可对您已开启的告警防御能力提供总览数据,帮助您快速了解安全告警概况、已开启和未开启的防御项目。您可在云安全中心控制台安全告警页面,查看安全告警和已开启的防御项目的统计信息。
下表详细介绍了安全告警页面的统计数据。
统计项 | 说明 | 相关操作 |
存在告警的服务器 | 展示您资产中存在告警的服务器数量。 | 单击相应数值,跳转到主机资产页面,查看已检测出安全告警的服务器的详细信息。 |
急需处理的告警 | 展示您资产中风险等级为紧急的待处理告警事件的数量。 | 单击相应数值,自动为您筛选出对应的告警事件,方便您集中查看和处理风险等级为紧急的告警事件信息。 说明 建议您优先处理紧急状态的告警事件。 |
待处理告警总数 | 展示您资产中未处理告警的总数量。 | 在安全告警页面,您可以查看默认展示的所有待处理告警信息。更多信息,请参见查看和处理安全告警。 |
精准防御 | 展示您资产中被恶意主机行为防御功能自动拦截的病毒告警的数量。 | 单击相应数值,自动为您筛选出对应的告警事件,方便您集中查看被恶意主机行为防御功能自动拦截的所有病毒告警信息。 说明 病毒被自动拦截表示云安全中心已成功拦截该病毒,无需您手动进行处理。 |
生效IP拦截策略/全部策略 |
| 单击相应数值,自动展开IP规则策略库面板,方便您集中查看已启用或全部的IP拦截策略。IP拦截策略的更多信息,请参见防暴力破解。 |
已隔离文件数 | 展示您对安全告警事件进行隔离处理后,隔离威胁文件的数量。 | 单击相应数值,自动展开文件隔离箱面板,方便您集中查看被隔离的文件信息。病毒样本文件被隔离后,将无法对业务产生危害。更多信息,请参见查看和恢复隔离文件。 |
安全告警类型列表
如果您想了解云安全中心支持的告警类型涉及的具体检测项,以及对应的检测原理,请参见安全告警检测项。云安全中心各版本可检测的告警类型不同,更多信息,请参见功能特性。
下表介绍了云安全中心支持检测的所有告警类型。
告警名称 | 告警说明 |
网页防篡改 | 实时监控网站目录并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。可检测以下子项:
说明 网页防篡改是云安全中心的增值服务,需要您单独购买开通后才会开启网页防篡改的防御。网页防篡改为防病毒版、高级版、企业版和旗舰版功能,基础版不支持该功能。更多信息,请参见网页防篡改。 |
进程异常行为 | 检测资产中是否存在超出正常执行流程的行为,包括但不限于以下子项:
|
网站后门 | 使用自主查杀引擎检测常见后门文件,并提供一键手动隔离功能。
说明 免费版仅支持部分类型WebShell检测,云安全中心其他付费版本支持所有类型的WebShell检测。如需较全面的WebShell检测,建议您升级到防病毒版、高级版、企业版或旗舰版。升级的具体操作,请参见升级与降配。 |
异常登录 | 检测服务器上的异常登录行为。通过设置合法登录IP、时间及账号,对于例外的登录行为进行告警。支持手动添加和自动更新常用登录地,对指定资产的异地登录行为进行告警。 可检测以下子项:
更多信息,请参见云安全中心检测和告警异常登录功能的原理是什么?。 |
异常事件 | 检测程序运行过程中发生的异常行为。 |
敏感文件篡改 | 检测是否存在对服务器中的敏感文件进行恶意修改,包含Linux共享库文件预加载配置文件的可疑篡改等行为。 |
恶意软件 | 采用云+端的查杀机制,对服务器进行实时检测,并对检测到的病毒文件提供实时告警。您可通过云安全中心控制台对病毒程序进行处理。 可检测以下子项:
|
异常网络连接 | 检测网络显示断开或不正常的网络连接状态。 可检测以下子项:
|
其他 | 检测客户端异常离线问题。 |
异常账号 | 检测非合法的登录账号。 |
应用入侵事件 | 检测通过系统的应用组件入侵服务器的行为。 |
云产品威胁检测 | 检测您购买的其他阿里云产品中是否存在威胁,例如是否存在可疑的删除ECS安全组规则行为。 |
精准防御 | 恶意主机行为防御功能提供了精准防御能力,可对主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等类型进行防御。关于如何开启该功能,请参见主动防御。 |
应用白名单 | 通过在白名单策略中设置需要重点防御的服务器应用,检测服务器中是否存在可疑或恶意的进程,并对不在白名单中的进程进行告警提示。 |
持久化后门 | 检测服务器上存在的被攻击者植入的持久化后门或入侵痕迹,对内存马注入、后门程序、异常注册表项修改等威胁行为进行告警。 |
Web应用威胁检测 | 检测通过Web应用入侵服务器的行为。 |
恶意脚本 | 检测资产的系统功能是否受到恶意脚本的攻击或篡改,对可能的恶意脚本攻击行为进行告警提示。 恶意脚本分为有文件脚本和无文件脚本。攻击者在拿到服务器权限后,使用脚本作为载体来达到进一步攻击利用的目的。利用方式包括植入挖矿程序、添加系统后门、添加系统账户等操作。恶意脚本的语言主要包括Bash、Python、Perl、PowerShell、BAT、VBS。 |
威胁情报 | 利用阿里云自研的威胁情报库对访问流量、日志进行关联分析,识别出可能已经发生的威胁事件,主要包括恶意域名访问、恶意下载源访问、恶意IP访问等不易直接发现的入侵行为。 |
容器集群异常 | 检测正在运行的容器集群安全状态,帮助您及时发现容器集群中的安全隐患和黑客入侵行为。 您需要开启容器K8s威胁检测功能,具体操作,请参见容器防护设置。 |
安全告警检测项
下表列出了云安全中心威胁检测模块支持的所有告警检测项,并按照操作系统、分析对象、攻击手法等维度进行分类,帮助您更全面地了解云安全中心的威胁检测能力。这些告警类型是云安全中心根据威胁检测引擎提供的能力,结合阿里云公网上的威胁情报和披露的最新漏洞检测得出的。本文列出了具体的告警检测项,对云安全中心支持的告警类型进行详细说明,并针对告警检测项为您介绍对应的检测原理。
适用于Linux系统的告警
告警类型 | 具体检测项 | 检测原理说明 |
持久化后门 | 篡改内核模块配置文件 | 检测模型发现您的服务器上有篡改内核模块配置文件行为,该行为常见于Rootkit修改配置文件以达到自启动的目的。 |
恶意启动项脚本 | 检测模型发现您服务器上的某些自启动项文件可疑,可能是恶意软件或攻击者通过计划任务、自启动脚本进行的持久化行为。 | |
后门进程 | 检测模型发现您的服务器上存在一疑似后门的可疑进程,可能是攻击者为维持权限遗留下的持久化行为。 | |
异常代码驻留内存 | 检测模型发现您的服务器上某进程的内存空间中疑似存在恶意指令,该进程可能为攻击者在入侵后遗留的恶意软件,或者是向正常的进程注入了恶意的代码。 | |
异常进程 | 检测模型发现您的服务器当前运行中的程序中存在异常进程,可能是恶意程序或利用正常程序加载了恶意代码。 | |
异常自启动项 | 检测模型发现您的服务器上存在异常的自启动项,可能是恶意软件或攻击者通过添加启动项来达到持久化的目的。 | |
隐藏的内核模块 | 检测模型发现您的服务器上存在隐藏的内核模块,极有可能是黑客或恶意软件植入的Rootkit后门,用于维持系统权限和隐藏其他恶意行为。 | |
Linux可疑计划任务 | 检测模型发现您服务器上存在可疑的计划任务,这可能被攻击者在入侵机器后进行的持久化行为。 | |
SSH后门公钥 | 检测模型发现您的服务器上存在异常的SSH登录公钥,该SSH公钥历史上曾被蠕虫或黑客添加到被入侵的服务器中以达到权限维持的目的。 | |
恶意脚本 | 恶意脚本代码执行 | 检测模型发现您的服务器上正在执行恶意的Bash、PowerShell、Python等脚本代码。 |
发现恶意脚本文件 | 检测模型发现您的服务器上存在恶意脚本文件,该文件极有可能是攻击者成功入侵服务器后植入的,建议您根据恶意脚本的标签检查文件内容的合法性并进行处理。 | |
恶意软件 | 被污染的基础软件 | 检测模型发现您的服务器上存在被污染的基础软件,被污染的基础软件是一类特殊的恶意程序,一般是被植入了恶意代码的正常系统程序,虽然具备原始基础软件的功能但具有隐藏的恶意行为。 |
恶意程序 | 检测模型发现您的服务器上运行了恶意程序,恶意程序一般是具备多种恶意行为特征的程序,或者具备骚扰、破坏行为的第三方程序。 | |
访问恶意IP | 检测模型发现您服务器上的进程正在尝试访问一个可疑的恶意IP,这个IP可能是黑客的中控IP,矿池IP等具有高风险的IP,发起连接行为的进程可能是黑客植入的恶意文件。 | |
感染型病毒 | 检测模型发现您的服务器上运行了感染型病毒,感染型病毒是一类高级恶意程序,由病毒本体将恶意代码写入正常程序文件执行,因此往往有大量原本正常程序被感染后作为宿体被检出。 | |
黑客工具 | 检测模型发现您的服务器上存在黑客工具,黑客工具是攻击者在入侵过程中用于权限提升、窃取敏感数据的工具,或用于卸载安全软件的程序,或入侵后植入系统的后门程序。 | |
后门程序 | 检测模型发现您的服务器上运行了后门程序,后门程序是植入到系统中,用于给黑客对服务器做持续入侵的持久化程序。 | |
可疑程序 | 检测模型发现您的服务器上运行了可疑程序,可疑程序一般是具有一定恶意代码特征或高可疑度行为特征的、暂未明确分类的程序,需要用户结合信息判断。 | |
勒索病毒 | 检测模型发现您的服务器上运行了勒索病毒,勒索病毒是一类恶性程序,会对服务器上所有关键数据文件进行加密锁定以勒索赎金。 | |
漏洞利用程序 | 检测模型发现您的服务器上运行了漏洞利用程序,漏洞利用程序用于攻击或尝试攻击操作系统、应用程序的已知漏洞,用于实现提权、逃逸、任意代码执行等目的。 | |
木马程序 | 检测模型发现您的服务器上存在木马程序,木马程序是专门用于侵入用户服务器的程序,一般通过伪装植入系统后会下载、释放另外的恶意程序。 | |
蠕虫病毒 | 检测模型发现您的服务器上运行了蠕虫病毒,蠕虫病毒是一类用于从已攻陷服务器,向其它服务器做攻击横向移动的程序,往往包括漏洞利用、密码爆破等行为。 | |
挖矿程序 | 检测模型发现您的服务器上运行了挖矿程序,挖矿程序是一类侵占服务器计算资源,进行虚拟货币挖掘的程序,服务器往往可见CPU占用飙高,以及其它相关的恶意程序。 | |
自变异木马 | 检测模型发现您的服务器上运行了自变异,自变异木马是具备自变异功能的木马程序,它会改变自身hash或者将自身大量复制到不同的路径下,并后台运行起来,以躲避清理。 | |
DDoS木马 | 检测模型发现您的服务器上运行了DDoS木马,DDoS木马是用于从被攻陷服务器上接受指令,对黑客指定目标发起DDoS攻击的恶意程序。 | |
Rootkit | 检测模型发现您的服务器上存在Rootkit,Rootkit是一类植入到系统底层,用于隐藏自身或其它恶意程序痕迹的恶意模块。 | |
Rootkit内核模块 | 检测模型发现您的服务器上存在Rootkit,Rootkit是一类植入到系统底层,用于隐藏自身或其它恶意程序痕迹的恶意模块。 | |
进程异常行为 | 篡改文件时间 | 检测模型发现您的服务器上有进程尝试篡改文件时间,可能是攻击者在入侵过程中通过模仿系统正常文件时间来伪造异常文件真实的创建、访问、修改时间,以达到逃避检测的目的。 |
调用风险工具 | 检测模型发现您的服务器异常调用了风险工具,风险工具被攻击者用于代理、隧道、扫描工具等进一步入侵服务器的场景。 | |
反弹Shell | 检测模型发现您的服务器执行了反弹Shell命令,攻击者通过该方式与自己的服务器建立了反向网络连接,通过该连接可以执行任意命令。详细信息,请参见云安全中心反弹Shell多维检测技术详解。 | |
访问恶意下载源 | 检测模型发现您的服务器正在尝试访问一个可疑的恶意下载源,可能是黑客通过弱口令或命令执行漏洞,从远程服务器下载恶意文件,危害服务器安全。 | |
访问敏感文件 | 检测模型通过对您服务器上的进程历史行为进行自动分析,发现该进程异常读取或修改了重要的系统文件。 | |
服务应用执行可疑命令 | 检测模型根据您服务器上的进程历史行为自动分析,发现该服务进程启动的命令较为可疑,可能是攻击者在利用该服务的RCE漏洞成功执行了命令。 | |
高危应用执行异常指令 | 检测模型发现您服务器中的高危应用(如:Web服务、数据库服务、脚本、定时任务、自启动项等)执行了可疑命令,该服务可能已被攻击者攻破并通过其执行恶意命令。 | |
可疑编码命令 | 检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。 | |
可疑端口监听异常进程 | 检测模型发现您的服务器出现异常的端口监听事件,攻击者在入侵服务器后,常常会借助nc等软件建立监听端口,以此建立隐蔽通信通道实现信息窃取等目的。 | |
可疑路径 | 检测模型发现您的服务器上存在可疑的文件名后缀,该文件格式为可执行文件,与后缀所代表格式不匹配,常见于攻击者在入侵过程中修改可执行文件名后缀以逃避检测。 | |
可疑文件落盘执行 | 检测模型发现您的服务器上的某文件以一种可疑的方式被写入并执行,可能是攻击者从外部下载的恶意工具并执行。 | |
可疑行为 | 检测模型通过对您服务器上的历史进程行为自动分析,发现该命令较为可疑。 | |
可疑HTTP隧道信息泄漏 | 检测模型发现您服务器上出现利用HTTP信道将命令执行结果发送到外部服务器的行为,可能是攻击者将利用RCE漏洞执行命令的结果返回给自己的服务器。 | |
可疑SSH Tunnel端口转发隧道 | 检测模型发现您的服务器正在尝试建立可疑SSH Tunnel端口转发隧道。 | |
可疑WebShell写入行为 | 检测模型发现有可疑进程在尝试向服务器上写入WebShell文件。 | |
疑似权限提升 | 检测模型发现您的服务器上有进程疑似利用系统、应用漏洞来获取更高的权限,可能是攻击者在入侵过程中进行的提权行为。 | |
疑似Rootkit行为 | 检测模型发现你的服务器上有Rootkit后门正在执行可疑命令,可能是攻击者在植入Rootkit后对其下发了恶意指令来达到远程控制的目的。 | |
异常调用数据库导出工具 | 检测模型通过对您服务器上进程的历史行为进行分析,发现可疑调用数据库导出工具行为,可能是攻击者在攻击成功后进行数据窃取的行为。 | |
异常行为序列 | 检测模型发现您的服务器上出现了多个异常行为的序列组合,常见于各类蠕虫家族感染扩散时运行的异常行为,可能您的服务也被蠕虫病毒感染。 | |
Apache-CouchDB执行异常指令 | 检测模型发现您服务器上Apache-CouchDB应用执行了异常命令。 | |
FTP应用执行异常指令 | 检测模型发现您的FTP应用执行了异常命令,可能是攻击者通过FTP应用的弱口令,借助FTP执行BAT批处理脚本功能,执行异常命令。 | |
Java应用执行异常指令 | 检测模型发现您的服务器上的Java进程启动了下载恶意程序、添加后门等高危行为,很可能是因为您使用了存在漏洞的Web框架或者中间件导致。 | |
Linux计划任务文件异常篡改 | 检测模型发现您服务器上有进程正在尝试修改Linux计划任务文件,该行为可能是因为恶意程序、Rootkit程序正在尝试写入持久化后门代码。 | |
Linux计划任务执行异常指令 | 检测模型发现您服务器的计划任务执行了异常命令,可能是攻击者在入侵服务器后,为维持权限,将恶意命令写入到计划任务中。 | |
Linux可疑命令序列 | 检测模型发现您服务器上某进程执行了一系列可疑的命令,这些命令与攻击者入侵后通常会执行的命令序列非常相似,建议排查这些命令的父进程,可能为远控木马、存在漏洞的Web服务,或者是合法进程被注入了恶意代码。 | |
Linux可疑命令执行 | 检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。 | |
MySQL导出功能误用写入可疑文件 | 检测模型发现您服务器上的MySQL应用正尝试向敏感目录写入文件,可能是攻击者通过弱口令或Web应用执行了恶意的SQL。 | |
MySQL执行异常指令 | 检测模型发现您的MySQL服务执行了可疑的命令,可能是由于MySQL服务存在弱口令,或Web服务被SQL注入导致。 | |
Oracle执行异常指令 | 检测模型发现您的服务器上的Oracle数据库执行了可疑命令,可能是因为数据库密码泄漏导致黑客远程命令执行。 | |
Postgres导出功能被误用写入可疑UDF库文件 | 检测模型发现您服务器上的Postgres应用正在尝试向磁盘上写入可疑so文件,可能由于Postgres存在弱口令被攻击者登录后并执行了恶意SQL,该文件可能导致您的服务器被攻击者控制。 | |
Postgresql应用执行异常指令 | 检测模型发现到您的Postgres服务执行了可疑的命令,可能是由于Postgres服务存在弱口令,或Web服务被SQL注入导致。 | |
Python应用执行异常指令 | 检测模型发现您服务器上的Python应用执行异常命令,可能是由于您服务器上通过Python搭建的Web应用存在RCE漏洞并被利用成功。 | |
Redis入侵后修改Crontab | 检测模型发现您服务器上的Redis应用向磁盘写入了可疑文件,可能是攻击者通过Redis空口令或弱口令,执行了恶意SQL,该行为可使攻击者直接获取服务器权限。 | |
Tomcat执行异常指令 | 检测模型发现您的Tomcat容器执行了异常命令,可能是攻击者通过Tomcat容器中Java应用存在的RCE漏洞或WebShell执行了恶意命令。 | |
敏感文件篡改 | 篡改系统文件 | 检测模型发现您服务器上有进程尝试修改、替换系统文件,可能是攻击者尝试通过替换系统文件以达到躲避检测、隐藏后门等目的,请及时确认您服务器上告警的系统文件是否为真实的系统文件。 |
挪移系统文件 | 检测模型发现您的服务器上游进程尝试挪移系统文件,可能是攻击者在入侵过程中,通过挪移被安全软件监控的系统文件来达到绕过部分检测逻辑的目的。 | |
Linux共享库文件预加载配置文件可疑篡改 | 检测模型发现您服务器上的共享库文件预加载配置文件正在被可疑篡改。 | |
其他 | 云安全中心客户端异常离线 | 检测模型发现您服务器上的云安全中心客户端主进程AliYunDun在当天异常离线,该情况可能是因为网络不稳定导致的暂时现象,也可能是因为遭到恶意黑客入侵导致云安全中心客户端被强制卸载。请登录服务器确认云安全中心客户端进程是否处于运行状态,如果不在请及时启动。 |
网站后门 | 发现后门(WebShell)文件 | 检测模型在您的服务器上发现了一个可疑的WebShell文件,可能是攻击者成功入侵网站后为维持权限植入的后门文件。 |
异常登录 | 恶意IP登录 | 检测模型发现您的服务器被恶意IP登录成功,该IP在历史上曾被发现存在恶意攻击行为。如果不是您的登录行为,请尽快修改ECS的密码。 |
恶意IP登录(FTP) | 检测模型发现您服务器上的FTP应用被恶意IP登录成功,此IP在历史上曾被发现过存在恶意攻击行为。如果不是您的登录行为,请尽快修改FTP的密码。 | |
恶意IP登录(MySQL) | 检测模型发现您服务器上的MySQL应用被恶意IP登录成功,此IP在历史上曾被发现过存在恶意攻击行为。如果不是您的登录行为,请尽快修改MySQL的密码。 | |
后门账户登录 | 检测模型发现您的服务器之前被攻击者植入了后门账户,且该后门账户刚刚被成功登录,如果不是您的操作行为,请尽快删除此账号。 | |
弱口令账户登录 | 检测模型发现您的服务器存在弱口令的账户被成功登录,这可能是攻击者或者您自己的登录行为,弱口令是攻击者最常利用的入侵手段,建议您立即加强口令的强度,防止黑客入侵。 | |
疑似对外发起登录扫描活动 | 检测模型发现您的服务器频繁对外发起爆破扫描SSH、RDP、SMB等协议的行为,可能是您的服务器已被攻击者入侵并被用于跳板来攻击其他机器。 | |
异常位置登录 | 检测模型发现您的服务器在较短时间内发生了两次用户登录,而且源自地理位置相距较远的位置。其中一个位置为您的常用登录地。发生此次行为,说明您的登录请求从一个常用位置移动到异常位置。如果不是您的登录行为,请尽快修改服务器的密码。 | |
异常账户登录 | 检测模型发现您将异常账户添加进管理员用户组,并检测此账户有登录行为,如果不是您的操作行为,请尽快删除此账号。 | |
ECS被暴力破解成功(多个无效用户) | 检测模型发现您的服务器被一个IP使用多个无效的用户名尝试登录,并最后登录成功,如果不是您的登录行为,请尽快修改ECS的密码。 | |
ECS被暴力破解成功(RDP) | 检测模型发现您的服务器正在被RDP暴力破解攻击,且攻击者在进行了一定次数的尝试后,试出了您的RDP服务密码,成功登录了系统。 | |
ECS登录后执行异常指令序列(SSH) | 检测模型发现您的服务器在被一IP登录后,执行了一系列恶意指令,很有可能是由于您服务器的密码较弱或密码泄露被攻击者登录执行。 | |
ECS非常用时间登录 | 本次登录的时间非您定义的合法登录时间范畴,请您确认登录行为合法性。 | |
ECS非常用账号登录 | 本次登录的账号非您定义的合法账号范畴,请您确认登录行为合法性。 | |
ECS非常用IP登录 | 本次登录的IP非您定义的合法IP范畴,请您确认登录行为合法性。 | |
ECS在非常用地登录 | 本次登录的登录地非您定义的合法登录地范畴,请您确认登录的合法性。 | |
异常网络连接 | 端口转发 | 检测模型发现您服务器上有进程正在尝试建立端口转发隧道,可能是攻击者在入侵服务器后,将该服务器作为跳板进而攻击内网的其他服务器。 |
访问恶意域名 | 检测模型从DNS流量中发现您的服务器请求解析过这个风险系数高的域名,这个域名可能是远控、僵尸网络组织、矿池地址等恶意域名,意味着您的服务器可能已经沦陷并被黑客利用。 | |
可疑网络外连 | 检测模型发现您服务器正在访问的网络地址,疑似与中控后门、僵尸网络组织、矿池地址等地址相关。 | |
可疑Meterpreter反弹Shell连接 | 检测模型发现您的服务器上存在可疑进程,正在尝试利用黑客工具Meterpreter将命令控制通道反弹至攻击者的服务器。详细信息,请参见云安全中心反弹Shell多维检测技术详解。 | |
矿池通信行为 | 检测模型发现您的服务器存在与矿池IP通信的流量,您的服务器可能已被攻击者入侵并用于挖矿。 | |
内网扫描 | 检测模型发现您的服务器有进程在短时间内对多个内网IP的指定端口发起了疑似扫描行为,可能是攻击者在入侵后,尝试进行横向移动的行为。 | |
疑似内网横向攻击 | 检测模型发现您的服务器上存在异常的内网连接,可能是攻击者入侵服务器后,进行内网横向移动的行为。 | |
异常网络流量 | 检测模型通过分析您服务器的流量,发现存在异常的网络流量通信,可能是成功的漏洞利用、恶意软件通信、敏感信息泄露、可疑的代理隧道等,请根据告警详情信息做进一步判断处理。 | |
主动连接恶意下载源 | 检测模型通过HTTP流量发现您的服务器正在尝试访问一个可疑的恶意下载源,可能是黑客通过弱口令或命令执行漏洞,从远程服务器下载恶意文件,危害服务器安全。 | |
Redis执行异常指令 | 检测模型发现到有攻击者连接您的Redis服务后执行了恶意SQL,可能导致您的服务器被攻击者控制。 | |
异常账号 | 使用可疑账号登录系统 | 检测模型发现到当前有用户尝试使用默认禁用、系统内置账号、或疑似黑客账号登录系统,可能是黑客的入侵行为。 |
适用于Windows系统的告警
告警类型 | 具体检测项 | 检测原理说明 |
持久化后门 | 可疑自启动项 | 检测模型发现您服务器上的某些自启动项可疑,可能是恶意软件或者黑客在入侵后进行的持久化痕迹。 |
疑似后门 | 检测模型发现您的服务器上存在wmi或bitsadmin后门,可能是攻击者在入侵后用来维持对您的服务器权限。 | |
异常代码驻留内存 | 检测模型发现您的服务器上某进程的内存空间中疑似存在恶意指令,该进程可能为攻击者在入侵后遗留的恶意软件,或者是向正常的进程注入了恶意的代码。 | |
异常进程 | 检测模型发现您的服务器当前运行中的程序中存在异常进程,可能是恶意程序或利用正常程序加载了恶意代码。 | |
异常注册表项 | 检测模型发现您服务器上的某个注册表配置项可疑,恶意软件常常会修改某些关键注册表配置来持久化运行或干扰正常的安全防护。 | |
异常自启动项 | 检测模型发现您的服务器上存在异常的自启动项,可能是恶意软件或攻击者通过添加启动项来达到持久化的目的。 | |
CobaltStrike远控木马 | 检测模型发现您服务器上某个进程内存空间内存在CobaltStrike远控木马的恶意代码,可能该进程即为恶意程序或正常程序被注入了恶意指令。 | |
恶意脚本 | 恶意脚本代码执行 | 检测模型发现您的服务器上正在执行恶意的Bash、PowerShell、Python等脚本代码。 |
发现恶意脚本文件 | 检测模型发现您的服务器上存在恶意脚本文件,该文件极有可能是攻击者成功入侵服务器后植入的,建议您根据恶意脚本的标签检查文件内容的合法性并进行处理。 | |
恶意软件 | 恶意程序 | 检测模型发现您的服务器上运行了恶意程序,恶意程序一般是具备多种恶意行为特征的程序,或者具备骚扰、破坏行为的第三方程序。 |
访问恶意IP | 检测模型发现您服务器上的进程正在尝试访问一个可疑的恶意IP,这个IP可能是黑客的中控IP,矿池IP等具有高风险的IP,发起连接行为的进程可能是黑客植入的恶意文件。 | |
感染型病毒 | 检测模型发现您的服务器上运行了感染型病毒,感染型病毒是一类高级恶意程序,由病毒本体将恶意代码写入正常程序文件执行,因此往往有大量原本正常程序被感染后作为宿体被检出。 | |
黑客工具 | 检测模型发现您的服务器上存在黑客工具,黑客工具是攻击者在入侵过程中用于权限提升、窃取敏感数据的工具,或用于卸载安全软件的程序,或入侵后植入系统的后门程序。 | |
后门程序 | 检测模型发现您的服务器上运行了后门程序,后门程序是植入到系统中,用于给黑客对服务器做持续入侵的持久化程序。 | |
可疑程序 | 检测模型发现您的服务器上运行了可疑程序,可疑程序一般是具有一定恶意代码特征或高可疑度行为特征的、暂未明确分类的程序,需要用户结合信息判断。 | |
勒索病毒 | 检测模型发现您的服务器上运行了勒索病毒,勒索病毒是一类恶性程序,会对服务器上所有关键数据文件进行加密锁定以勒索赎金。 | |
漏洞利用程序 | 检测模型发现您的服务器上运行了漏洞利用程序,漏洞利用程序用于攻击或尝试攻击操作系统、应用程序的已知漏洞,用于实现提权、逃逸、任意代码执行等目的。 | |
木马程序 | 检测模型发现您的服务器上存在木马程序,木马程序是专门用于侵入用户服务器的程序,一般通过伪装植入系统后会下载、释放另外的恶意程序。 | |
蠕虫病毒 | 检测模型发现您的服务器上运行了蠕虫病毒,蠕虫病毒是一类用于从已攻陷服务器,向其它服务器做攻击横向移动的程序,往往包括漏洞利用、密码爆破等行为。 | |
挖矿程序 | 检测模型发现您的服务器上运行了挖矿程序,挖矿程序是一类侵占服务器计算资源,进行虚拟货币挖掘的程序,服务器往往可见CPU占用飙高,以及其它相关的恶意程序。 | |
自变异木马 | 检测模型发现您的服务器上运行了自变异,自变异木马是具备自变异功能的木马程序,它会改变自身hash或者将自身大量复制到不同的路径下,并后台运行起来,以躲避清理。 | |
DDoS木马 | 检测模型发现您的服务器上运行了DDoS木马,DDoS木马是用于从被攻陷服务器上接受指令,对黑客指定目标发起DDoS攻击的恶意程序。 | |
Hashdump攻击异常事件 | 检测模型发现您的服务器上有wce、mimikatz恶意软件运行,该工具可窃取系统账号HASH,导致您的账号密码泄漏。 | |
进程异常行为 | 创建异常Windows计划任务 | 检测模型发现您的服务器上创建了异常的Windows计划任务,可能是恶意软件或攻击者在入侵过程中为维持权限而进行的行为。 |
调用风险工具 | 检测模型发现您的服务器异常调用了风险工具,风险工具被攻击者用于代理、隧道、扫描工具等进一步入侵服务器的场景。 | |
调用wmic启动可疑进程 | 检测模型发现您服务器尝试使用wmic创建并执行程序,攻击者在入侵您服务器后,会通过创建wmic任务的方式来维持权限。 | |
访问恶意下载源 | 检测模型发现您的服务器正在尝试访问一个可疑的恶意下载源,可能是黑客通过弱口令或命令执行漏洞,从远程服务器下载恶意文件,危害服务器安全。 | |
高危应用执行异常指令 | 检测模型发现您服务器中的高危应用(如:Web服务、数据库服务、脚本、定时任务、自启动项等)执行了可疑命令,该服务可能已被攻击者攻破并通过其执行恶意命令。 | |
高危应用植入可疑文件 | 检测模型发现您服务器上的敏感服务(如Web应用等)创建了可疑的可执行文件或脚本,可能是攻击者通过漏洞攻击服务后向系统投递病毒或木马的行为。 | |
可疑的脚本操作 | 检测模型发现您的服务器上执行的某些与脚本相关的命令高度可疑,很有可能与恶意软件、黑客入侵有关。 | |
可疑的进程路径 | 检测模型发现您服务器上某个进程从一个不寻常的路径启动,常规软件通常不会在这种目录中,该进程有可能是病毒、木马、黑客入侵过程中放置的工具。 | |
可疑的进程文件名 | 检测模型发现您服务器上某个进程的文件名具有迷惑性后缀或是有模仿系统文件名的嫌疑,有可能是病毒、木马、黑客入侵过程中放置的工具。 | |
可疑端口监听异常进程 | 检测模型发现您的服务器出现异常的端口监听事件,攻击者在入侵服务器后,常常会借助nc等软件建立监听端口,以此建立隐蔽通信通道实现信息窃取等目的。 | |
可疑命令 | 检测模型发现您的服务器执行了可疑的信息收集命令,或启动的进程调用关系存在异常,可能与木马病毒或黑客入侵有关。 | |
可疑文件落盘执行 | 检测模型发现您的服务器上的某文件以一种可疑的方式被写入并执行,可能是攻击者从外部下载的恶意工具并执行。 | |
可疑注册表配置项修改 | 检测模型发现您服务器上有进程尝试修改注册表配置,可能是攻击者在获取服务器权限后写入后门代码或修改敏感配置。 | |
可疑CMD命令序列 | 检测模型发现您服务器上某进程执行了一系列可疑的命令,这些命令与攻击者入侵后通常会执行的命令序列非常相似,建议排查这些命令的父进程,可能为远控木马、存在漏洞的Web服务,或者是合法进程被注入了恶意代码。 | |
可疑procdump进程镜像转储 | 检测模型发现您的服务器上正在进行procdump进程镜像转储,该行为可能导致敏感数据泄漏。 | |
利用bitsadmin启动可疑进程 | 检测模型发现您的服务器尝试利用bitsadmin启动可疑进程,可能是攻击者利用该功能进行植入恶意程序以及执行恶意命令。 | |
利用Windows系统文件加载恶意代码 | 检测模型发现您的服务器执行的命令极有可能是有攻击者在利用Windows系统文件加载恶意代码,以此绕过安全软件的检测。 | |
启动项异常修改 | 检测模型发现您服务器上有进程正在尝试修改系统的自启动项,可能是木马病毒或攻击者通过这种方式来维持对您服务器的权限。 | |
使用attrib.exe修改文件的只读隐藏属性 | 检测模型发现您服务器上有进程正在尝试使用attrib.exe修改文件的只读隐藏属性。 | |
通过注册表添加自启动程序 | 检测模型发现您的服务器上有程序向注册表中添加自启动项,常见于流氓软件,含有后门的推广软件以及入侵持久化行为,也被正常软件用于开机自启动,请确认该进程路径是否为可信程序。 | |
通过FTP从远程服务器下载可疑文件到磁盘 | 检测模型发现您服务器上有进程正在尝试通过FTP从远程服务器下载可疑文件。 | |
通过RDP远程登录拷贝可疑文件到本地磁盘 | 检测模型发现有攻击者尝试通过RDP远程登录向您的服务器拷贝可疑文件,可能是因为您的服务器RDP登录密码被黑客窃取或爆破成功。 | |
系统备份异常删除 | 检测模型发现您服务器上有进程尝试删除系统备份文件,可能为勒索病毒为达到勒索的目的,通过删除系统的备份来阻止恢复文件。 | |
系统日志异常删除 | 检测模型发现您的服务器上有进程在删除系统日志,恶意软件或攻击者通常会通过清除系统日志来达到躲避检测的目的。 | |
疑似黑客工具 | 检测模型发现您服务器上执行的某些命令与常用的黑客工具非常类似,可能是由攻击者在入侵过程中执行的命令。 | |
疑似Windows提权操作 | 检测模型发现您的服务器上执行的某些命令非常可疑,极有可能是有攻击者在利用系统或应用漏洞获取更高的系统权限。 | |
异常的注册表操作 | 检测模型发现您的服务器上执行的某些命令操作Windows注册表的方式高度可疑,可能与恶意软件或攻击者入侵后在修改相关的配置项。 | |
异常调用数据库导出工具 | 检测模型通过对您服务器上进程的历史行为进行分析,发现可疑调用数据库导出工具行为,可能是攻击者在攻击成功后进行数据窃取的行为。 | |
异常调用系统工具 | 检测模型发现您服务器上有进程正以一种可疑方式的调用系统工具,木马病毒或黑客常常会通过这种方式绕过常规的安全软件来下载恶意文件、加载恶意代码、执行加解密操作等其他恶意操作。 | |
异常修改系统安全配置 | 检测模型发现您的服务器上有进程正在修改系统安全配置,可能为恶意软件或攻击者通过修改防火墙、杀毒软件配置来躲避检测。 | |
执行恶意命令 | 检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。 | |
CobaltStrike远控恶意行为 | 检测模型发现您的服务器中存在CobaltStrike控制端,并正在执行恶意操作命令。 | |
FTP应用执行异常指令 | 检测模型发现您的FTP应用执行了异常命令,可能是攻击者通过FTP应用的弱口令,借助FTP执行BAT批处理脚本功能,执行异常命令。 | |
Java应用执行异常指令 | 检测模型发现您的服务器上的Java进程启动了下载恶意程序、添加后门等高危行为,很可能是因为您使用了存在漏洞的Web框架或者中间件导致。 | |
Lsass.exe系统安全授权程序执行异常进程 | 检测模型发现您的服务器上的lsass.exe进程启动了异常命令,lsass.exe进程是系统的一个安全授权服务进程,负责为登录用户进行身份鉴权和Token令牌生成,有很多系统漏洞常常针对该服务进行缓冲区溢出攻击,使得攻击者获取目标进程的完全控制权。 | |
MySQL执行异常指令 | 检测模型发现您的MySQL服务执行了可疑的命令,可能是由于MySQL服务存在弱口令,或Web服务被SQL注入导致。 | |
Postgresql应用执行异常指令 | 检测模型发现到您的Postgres服务执行了可疑的命令,可能是由于Postgres服务存在弱口令,或Web服务被SQL注入导致。 | |
Python应用执行异常指令 | 检测模型发现您服务器上的Python应用执行异常命令,可能是由于您服务器上通过Python搭建的Web应用存在RCE漏洞并被利用成功。 | |
regsvr32.exe执行异常指令 | 检测模型发现您的服务器上存在regsvr32.exe执行异常指令,可能是攻击者为了躲避系统杀软查杀,将恶意代码包装在windows ocx COM文件中,并通过regsvr32来加载到内存中运行。 | |
rundll32.exe执行异常指令 | 检测模型发现您的服务器上存在rundll32.exe执行异常指令,可能是攻击者为了躲避系统杀软查杀,将恶意代码包装在Windows DLL文件中,并通过rundll32.exe来加载到内存中运行。 | |
Sqlserver写可疑文件到磁盘中 | 检测模型发现您服务器上SQL Server应用正在尝试写入可疑文件到磁盘中,可能是因为攻击者破解了SQL Server的登录密码并执行了恶意的SQL。 | |
Sqlserver应用执行异常指令 | 检测模型发现您的SQL Server服务执行了可疑的命令,可能是由于SQL Server服务存在弱口令,被攻击者借助SQL Server自身的命令执行组件执行了恶意命令。 | |
Tomcat执行异常指令 | 检测模型发现您的Tomcat容器执行了异常命令,可能是攻击者通过Tomcat容器中Java应用存在的RCE漏洞或WebShell执行了恶意命令。 | |
Windows Defender配置修改 | 检测模型发现您的服务器正在通过修改注册表的方式关闭Windows Defender安全软件的部分功能,可能是攻击者在入侵服务器后使用此方法来躲避检测与防御。 | |
Windows-3389-RDP配置被修改 | 检测模型发现您服务器的RDP配置正在被修改,可能是攻击者在入侵服务器后,为维持权限进行的操作。 | |
Windows创建计划任务 | 检测模型发现到您的服务器正在创建Windows计划任务,可能由于攻击者在入侵您服务器,为维持权限而植入后门。 | |
Windows创建可疑Service服务启动项 | 检测模型发现您的服务器上游进程正在尝试创建可疑的Service服务启动项,该服务器可能已经被植入恶意程序,恶意程序在运行过程中会通过创建服务的方式来维持权限。 | |
Windows登录凭证窃取 | 检测模型发现您的服务器上某些程序修改了注册表的WDigest项,该行为常见于黑客通过修改UseLogonCredential值使系统能够明文存储登录凭证,便于攻击者后续从内存中窃取登录凭证。 | |
Windows调用mshta执行html内嵌脚本指令 | 检测模型发现您服务器上有进程在尝试调用mshta执行html内嵌脚本指令,黑客可通过这种方式向服务器植入恶意程序。 | |
Windows可疑端口转发 | 检测模型发现您的服务器上执行的命令可能是在转发内网的敏感端口,攻击者在内网横向移动时常常采用这种方式。 | |
Windows系统防火墙配置修改 | 检测模型发现有进程正在尝试修改您服务器上的Windows系统防火墙配置,请注意。 | |
Windows新增自启动项 | 检测模型发现您的服务器存在异常的增加自启动项的行为,可能是攻击者在入侵服务器后,为维持权限,将恶意程序添加到启动项中 | |
Windows账户异常操作 | 检测模型发现您服务器上的命令在操作系统账户时的上下文可疑,可能是恶意软件或者攻击者在进行用户账户的操作。 | |
其他 | 云安全中心客户端异常离线 | 检测模型发现您服务器上的云安全中心客户端主进程AliYunDun在当天异常离线,该情况可能是因为网络不稳定导致的暂时现象,也可能是因为遭到恶意黑客入侵导致云安全中心客户端被强制卸载。请登录服务器确认云安全中心客户端进程是否处于运行状态,如果不在请及时启动。 |
网站后门 | 发现后门(WebShell)文件 | 检测模型在您的服务器上发现了一个可疑的WebShell文件,可能是攻击者成功入侵网站后为维持权限植入的后门文件。 |
异常登录 | 恶意IP登录 | 检测模型发现您的服务器被恶意IP登录成功,该IP在历史上曾被发现存在恶意攻击行为。如果不是您的登录行为,请尽快修改ECS的密码。 |
恶意IP登录(FTP) | 检测模型发现您服务器上的FTP应用被恶意IP登录成功,此IP在历史上曾被发现过存在恶意攻击行为。如果不是您的登录行为,请尽快修改FTP的密码。 | |
恶意IP登录(MySQL) | 检测模型发现您服务器上的MySQL应用被恶意IP登录成功,此IP在历史上曾被发现过存在恶意攻击行为。如果不是您的登录行为,请尽快修改MySQL的密码。 | |
恶意IP登录(SQL Server) | 检测模型发现您服务器上的SQL Server应用被恶意IP登录成功,此IP在历史上曾被发现过存在恶意攻击行为。如果不是您的登录行为,请尽快修改SQL Server的密码。 | |
后门账户登录 | 检测模型发现您的服务器之前被攻击者植入了后门账户,且该后门账户刚刚被成功登录,如果不是您的操作行为,请尽快删除此账号。 | |
弱口令账户登录 | 检测模型发现您的服务器存在弱口令的账户被成功登录,这可能是攻击者或者您自己的登录行为,弱口令是攻击者最常利用的入侵手段,建议您立即加强口令的强度,防止黑客入侵。 | |
疑似对外发起登录扫描活动 | 检测模型发现您的服务器频繁对外发起爆破扫描SSH、RDP、SMB等协议的行为,可能是您的服务器已被攻击者入侵并被用于跳板来攻击其他机器。 | |
异常位置登录 | 检测模型发现您的服务器在较短时间内发生了两次用户登录,而且源自地理位置相距较远的位置。其中一个位置为您的常用登录地。发生此次行为,说明您的登录请求从一个常用位置移动到异常位置。如果不是您的登录行为,请尽快修改服务器的密码。 | |
异常账户登录 | 检测模型发现您服务器上的管理员组用户,从不常见的位置登录了服务器。如果不是您的操作行为,请尽快删除此账号。 | |
ECS被暴力破解成功(多个无效用户) | 检测模型发现您的服务器被一个IP使用多个无效的用户名尝试登录,并最后登录成功,如果不是您的登录行为,请尽快修改ECS的密码。 | |
ECS被暴力破解成功(SSH) | 检测模型发现您的服务器正在被SSH暴力破解攻击,且攻击者在进行了一定次数的尝试后,试出了您的SSH服务密码,成功登录了系统。 | |
ECS登录后执行异常指令序列(SSH) | 检测模型发现您的服务器在被一IP登录后,执行了一系列恶意指令,很有可能是由于您服务器的密码较弱或密码泄露被攻击者登录执行。 | |
ECS非常用时间登录 | 本次登录的时间非您定义的合法登录时间范畴,请您确认登录行为合法性。 | |
ECS非常用账号登录 | 本次登录的账号非您定义的合法账号范畴,请您确认登录行为合法性。 | |
ECS非常用IP登录 | 本次登录的IP非您定义的合法IP范畴,请您确认登录行为合法性。 | |
ECS在非常用地登录 | 本次登录的登录地非您定义的合法登录地范畴,请您确认登录的合法性。 | |
异常网络连接 | 端口转发 | 检测模型发现您服务器上有进程正在尝试建立端口转发隧道,可能是攻击者在入侵服务器后,将该服务器作为跳板进而攻击内网的其他服务器。 |
访问恶意域名 | 检测模型从DNS流量中发现您的服务器请求解析过这个风险系数高的域名,这个域名可能是远控、僵尸网络组织、矿池地址等恶意域名,意味着您的服务器可能已经沦陷并被黑客利用。 | |
可疑Meterpreter反弹Shell连接 | 检测模型发现您的服务器上存在可疑进程,正在尝试利用黑客工具Meterpreter将命令控制通道反弹至攻击者的服务器。详细信息,请参见云安全中心反弹Shell多维检测技术详解。 | |
矿池通信行为 | 检测模型发现您的服务器存在与矿池IP通信的流量,您的服务器可能已被攻击者入侵并用于挖矿。 | |
内网扫描 | 检测模型发现您的服务器有进程在短时间内对多个内网IP的指定端口发起了疑似扫描行为,可能是攻击者在入侵后,尝试进行横向移动的行为。 | |
疑似敏感端口扫描行为 | 检测模型发现您服务器上的某个进程在短时间内对敏感端口发起过多的网络请求,疑似端口扫描行为。 | |
异常网络流量 | 检测模型通过分析您服务器的流量,发现存在异常的网络流量通信,可能是成功的漏洞利用、恶意软件通信、敏感信息泄露、可疑的代理隧道等,请根据告警详情信息做进一步判断处理。 | |
主动连接恶意下载源 | 检测模型通过HTTP流量发现您的服务器正在尝试访问一个可疑的恶意下载源,可能是黑客通过弱口令或命令执行漏洞,从远程服务器下载恶意文件,危害服务器安全。 | |
Windows异常网络连接 | 检测模型发现您服务器上某个进程的网络连接行为异常,很有可能与病毒、木马或黑客行为有关。 | |
异常账号 | 使用可疑账号登录系统 | 检测模型发现到当前有用户尝试使用默认禁用、系统内置账号、或疑似黑客账号登录系统,可能是黑客的入侵行为。 |
适用于容器环境的告警
告警分类 | 具体检测项 | 检测原理说明 |
恶意软件 | 恶意程序 | 检测模型发现您的服务器上运行了恶意程序,恶意程序一般是具备多种恶意行为特征的程序,或者具备骚扰、破坏行为的第三方程序。 |
访问恶意IP | 检测模型发现您服务器上的进程正在尝试访问一个可疑的恶意IP,这个IP可能是黑客的中控IP,矿池IP等具有高风险的IP,发起连接行为的进程可能是黑客植入的恶意文件。 | |
感染型病毒 | 检测模型发现您的服务器上运行了感染型病毒,感染型病毒是一类高级恶意程序,由病毒本体将恶意代码写入正常程序文件执行,因此往往有大量原本正常程序被感染后作为宿体被检出。 | |
黑客工具 | 检测模型发现您的服务器上存在黑客工具,黑客工具是攻击者在入侵过程中用于权限提升、窃取敏感数据的工具,或用于卸载安全软件的程序,或入侵后植入系统的后门程序。 | |
后门程序 | 检测模型发现您的服务器上运行了后门程序,后门程序是植入到系统中,用于给黑客对服务器做持续入侵的持久化程序。 | |
可疑程序 | 检测模型发现您的服务器上运行了可疑程序,可疑程序一般是具有一定恶意代码特征或高可疑度行为特征的、暂未明确分类的程序,需要用户结合信息判断。 | |
勒索病毒 | 检测模型发现您的服务器上运行了勒索病毒,勒索病毒是一类恶性程序,会对服务器上所有关键数据文件进行加密锁定以勒索赎金。 | |
木马程序 | 检测模型发现您的服务器上存在木马程序,木马程序是专门用于侵入用户服务器的程序,一般通过伪装植入系统后会下载、释放另外的恶意程序。 | |
蠕虫病毒 | 检测模型发现您的服务器上运行了蠕虫病毒,蠕虫病毒是一类用于从已攻陷服务器,向其它服务器做攻击横向移动的程序,往往包括漏洞利用、密码爆破等行为。 | |
挖矿程序 | 检测模型发现您的服务器上运行了挖矿程序,挖矿程序是一类侵占服务器计算资源,进行虚拟货币挖掘的程序,服务器往往可见CPU占用飙高,以及其它相关的恶意程序。 | |
自变异木马 | 检测模型发现您的服务器上运行了自变异,自变异木马是具备自变异功能的木马程序,它会改变自身hash或者将自身大量复制到不同的路径下,并在后台运行,以躲避清理。 | |
DDoS木马 | 检测模型发现您的服务器上运行了DDoS木马,DDoS木马是用于从被攻陷服务器上接受指令,对黑客指定目标发起DDoS攻击的恶意程序。 | |
进程异常行为 | 篡改文件时间 | 检测模型发现您的服务器上有进程尝试篡改文件时间,可能是攻击者在入侵过程中通过模仿系统正常文件时间来伪造异常文件真实的创建、访问、修改时间,以达到逃避检测的目的。 |
存在风险的Docker远程调试接口 | 检测模型发现您的Docker远程调试接口对0.0.0.0开放,暴露在公网的Docker远程调试接口会迅速被蠕虫入侵,请确保该接口仅暴露在可信的网络环境中。 | |
访问恶意下载源 | 检测模型发现您的服务器正在尝试访问一个可疑的恶意下载源,可能是黑客通过弱口令或命令执行漏洞,从远程服务器下载恶意文件,危害服务器安全。 | |
服务应用执行可疑命令 | 检测模型根据您服务器上的进程历史行为自动分析,发现该服务进程启动的命令较为可疑,可能是攻击者在利用该服务的RCE漏洞成功执行了命令。 | |
可疑编码命令 | 检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。 | |
可疑特权容器启动 | 检测模型发现您的服务器中有可疑的特权容器启动,特权容器会降低容器运行时的安全性,一旦被入侵者攻破将危害到宿主服务器上的其他容器和资产,请确保您的特权容器采用了可信的镜像源,并确保其运行的服务难以被入侵。 | |
可疑文件落盘执行 | 检测模型发现您的服务器上的某文件以一种可疑的方式被写入并执行,可能是攻击者从外部下载的恶意工具并执行。 | |
可疑行为 | 检测模型通过对您服务器上的历史进程行为自动分析,发现该命令较为可疑。 | |
容器发起网络扫描行为 | 检测模型发现您的容器内部正在主动发起可疑的网络扫描行为,可能是攻击者通过此种方法进行深入渗透和横向移动。 | |
容器高风险操作 | 检测模型发现您的服务器正在执行高风险的容器操作,包括通过高危权限启动容器,向容器内部映射敏感目录、文件及端口等行为。 | |
容器内部可疑命令执行 | 检测模型发现您的容器内部存在异常命令执行,存在入侵风险。 | |
容器内部凭证信息搜集 | 检测模型发现您的容器内部存在访问敏感文件行为,如:Docker/Swarm/K8s配置文件、数据库连接配置、登录凭证、API Access Key、证书及私钥文件等。请及时确认是否存在入侵事件和数据泄露风险。 | |
容器内部提权或逃逸 | 检测模型在您的容器中发现可疑提权脚本、指令或漏洞信息,您的容器资产很有可能已被入侵。 | |
容器内部信息搜集 | 检测模型发现您服务器上的容器内部执行了可疑命令,此类命令常见于攻击者入侵容器后在容器内部进行信息搜集行为。如果不是可信服务触发(如安全软件、管理员运维行为等),请及时重置容器。 | |
运行恶意容器镜像 | 检测模型发现您的服务器正在运行恶意的容器镜像,该镜像极有可能包含后门、挖矿程序、病毒或已知的严重漏洞,请及时排查并使用可信的镜像资源。 | |
Docker异常文件操作 | 检测模型发现您服务器上的Docker进程正在修改系统核心服务配置或敏感文件,这可能意味着攻击者利用Docker自身漏洞劫持了某些Docker服务并利用其完成容器逃逸攻击(如:CVE-2019-5736 Docker RunC逃逸漏洞、CVE-2019-14271 Docker CP逃逸漏洞),请排查当前Docker版本是否存在此类漏洞。 | |
FTP应用执行异常指令 | 检测模型发现您的FTP应用执行了异常命令,可能是攻击者通过FTP应用的弱口令,借助FTP执行BAT批处理脚本功能,执行异常命令。 | |
Java应用执行异常指令 | 检测模型发现您的服务器上的Java进程启动了下载恶意程序、添加后门等高危行为,很可能是因为您使用了存在漏洞的Web框架或者中间件所导致。 | |
K8s Service Account异常行为 | 检测模型发现您的容器内部存在异常指令,该指令尝试通过K8s Service Account方式连接K8s API Server,请排查相关指令是否为可信服务或可信行为触发(例如安全软件、管理员运维行为等),同时请保证该账号拥有最小必要权限,以免攻击者入侵容器后可以进一步通过K8s API横向移动。 | |
Linux可疑命令序列 | 检测模型发现您服务器上某进程执行了一系列可疑的命令,这些命令与攻击者入侵后通常会执行的命令序列非常相似,建议排查这些命令的父进程,可能为远控木马、存在漏洞的Web服务,或者是合法进程被注入了恶意代码。 | |
Linux可疑命令执行 | 检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。 | |
Oracle执行异常指令 | 检测模型发现您的服务器上的Oracle数据库执行了可疑命令,可能是因为数据库密码泄漏导致黑客远程命令执行。 | |
Tomcat执行异常指令 | 检测模型发现您的Tomcat容器执行了异常命令,可能是攻击者通过Tomcat容器中Java应用存在的RCE漏洞或WebShell执行了恶意命令。 | |
容器集群异常 | 恶意镜像Pod启动 | 检测模型发现您的K8s集群中启动了含有恶意镜像的Pod,请及时排查该Image是否来自可信来源,以及Pod内部进程是否存在后门、挖矿程序等恶意程序。 |
K8s API Server执行异常指令 | 检测模型发现您的K8s API执行异常指令,这意味着您的API Server凭证可能已被黑客获取并利用,请及时排查您的服务器是否已被入侵。 | |
K8s Secrets异常访问 | 检测模型发现您的K8s集群中存在枚举Secrets的行为,这可能意味着您的集群遭到入侵后攻击者正在窃取K8s Secrets中的敏感信息,请及时排查该操作是否由可信程序或管理员触发。 | |
K8s Service Account横向移动 | 检测模型发现您的某个Service Account请求了历史基线外的权限,或多次触发鉴权失败。这通常出现在攻击者入侵到某个Pod内部并利用本地获取到的Service Account凭证攻击API Server的过程,请及时排查。 | |
K8s匿名用户认证成功 | 检测模型发现您的K8s API日志中存在成功的匿名登录事件,一般情况下匿名用户不应用于K8s运维工作,允许匿名登录且暴露在公网的集群风险较高,请及时排查该操作是否由可信管理员触发,并及时清理匿名用户的访问权限。 | |
Node敏感目录挂载 | 检测模型发现您的Pod启动时挂载了敏感目录或文件,这可能是黑客通过挂载敏感文件从而从Pod层逃逸到Node层的持久化方式,请及时排查该行为是否为可信操作。 | |
网站后门 | 发现后门(WebShell)文件 | 检测模型在您的服务器上发现了一个可疑的WebShell文件,可能是攻击者成功入侵网站后为维持权限植入的后门文件。 |
异常网络连接 | 可疑网络外连 | 检测模型发现您服务器正在访问的网络地址,疑似与中控后门、僵尸网络组织、矿池地址等地址相关。 |
矿池通信行为 | 检测模型发现您的服务器存在与矿池IP通信的流量,您的服务器可能已被攻击者入侵并用于挖矿。 | |
内网扫描 | 检测模型发现您的服务器有进程在短时间内对多个内网IP的指定端口发起了疑似扫描行为,可能是攻击者在入侵后,尝试进行横向移动的行为。 | |
Redis执行异常指令 | 检测模型发现到有攻击者连接您的Redis服务后执行了恶意SQL,可能导致您的服务器被攻击者控制。 |
适用于阿里云平台的告警
告警类型 | 具体检测项 | 检测原理说明 |
云产品威胁检测 | 可疑的枚举安全组规则行为 | 检测模型发现您的云账户通过OpenAPI枚举了安全组策略,且该行为并非一高频行为,很有可能是攻击者已经获取了您的AccessKey进行恶意操作。 |
可疑的枚举所有用户行为 | 检测模型发现您的云账户通过OpenAPI枚举了用户,且该行为并非一高频行为,很有可能是黑客已经获取了您的AccessKey进行恶意操作。 | |
可疑的枚举指定角色权限行为 | 检测模型发现您的云账户通过OpenAPI枚举了指定角色权限,且该行为并非一高频行为,很有可能是黑客已经获取了您的AccessKey进行恶意操作。 | |
可疑的删除安全组规则行为 | 检测模型发现您的云账户通过OpenAPI删除了安全组策略,且该行为并非一高频行为,很有可能是攻击者已经获取了您的AccessKey进行恶意操作。 | |
可疑的修改安全组规则行为 | 检测模型发现您的云账户通过OpenAPI修改了安全组策略,且该行为并非一高频行为,很有可能是攻击者已经获取了您的AccessKey进行恶意操作。 | |
可疑的修改ECS密码行为 | 检测模型发现您的云账户通过OpenAPI修改了ECS密码,且该行为并非一高频行为,很有可能是黑客已经获取了您的AccessKey进行恶意操作。 | |
可疑的增加安全组规则行为 | 检测模型发现您的云账户通过OpenAPI添加了安全组策略,且该行为并非一高频行为,很有可能是攻击者已经获取了您的AccessKey进行恶意操作。 | |
云助手异常命令 | 检测模型发现您的云账户通过云助手OpenAPI在您的服务器上调用了命令,且命令的内容较为恶意,很有可能是黑客已经获取了您的AccessKey进行恶意操作。 | |
ActionTrail被关闭 | 检测模型发现您的云账户通过OpenAPI关闭了ActionTrail,这有可能是攻击者为了避免恶意行为被记录而采取的操作,为了安全起见,我们建议您保持ActionTrail开启。 | |
ActionTrail被关闭OSS投递 | 检测模型发现您的云账户通过OpenAPI关闭了ActionTrail,这有可能是攻击者为了避免恶意行为被记录而采取的操作,为了安全我们建议您保持ActionTrail投递功能开启。 | |
ActionTrail被关闭SLS投递 | 检测模型发现您的云账户通过OpenAPI关闭了ActionTrail,这有可能是攻击者为了避免恶意行为被记录而采取的操作,为了安全我们建议您保持ActionTrail投递功能开启。 | |
异常的开放公网访问数据库行为 | 检测模型发现您将数据库变更为可公网访问,请核实该操作是否存在异常。 | |
异常的角色权限遍历行为 | 检测模型发现您正在遍历多个角色的权限策略,请核实操作者的身份。 | |
异常的单子账号权限遍历行为 | 检测模型发现您正在深度遍历子账号及其所属用户组的权限策略,请核实操作者的身份。 | |
异常的多子账号权限遍历行为 | 检测模型发现您正在遍历多个子账号的权限策略,请核实操作者的身份。 | |
异常的OSS访问权限遍历行为 | 检测模型发现您正在遍历OSS各个存储空间的访问权限,请核实操作者的身份。 | |
异常的RDS资源遍历行为 | 检测模型发现您正在遍历各个区域下的RDS实例,请核实操作者的身份。 | |
异常的ECS资源遍历行为 | 检测模型发现您正在遍历各个区域下的ECS实例,请核实操作者的身份。 | |
异常的创建高权限子账户行为 | 检测模型发现您创建了管理员权限的子账户,并启用了Web控制台登录。 | |
异常的创建高权限角色行为 | 检测模型发现您创建的RAM角色可以跨账号使用,并被赋予了管理员权限。 | |
可疑身份调用敏感API | 检测模型发现您的账号进行了敏感API的调用,请核实使用者的身份。 | |
ECS实例角色凭证被外部调用 | 检测模型发现您的ECS实例角色凭证正在被外部IP调用,疑似凭证泄露。 | |
ECS角色凭证被其他阿里云账户调用 | 检测模型发现您的ECS实例角色凭证正在被其他阿里云账户调用。 | |
ECS角色凭证异常调用敏感API | 检测模型发现您调用ECS实例角色凭证后进行了敏感的API操作,请排查是否是正常的业务操作。 | |
RAM用户登录控制台执行敏感操作 | 检测模型发现您为RAM用户启用了Web控制台登录,并在控制台执行了较为敏感的操作行为。 | |
黑客工具利用AccessKey | 检测模型发现您的AccessKey正在被黑客工具使用。 | |
异常的权限探测行为 | 检测模型发现您正在遍历多种云产品的API调用权限,请核实操作者的身份。 | |
恶意IP使用AccessKey | 检测到存在恶意IP正在调用您的AccessKey,如果确认该操作不是您自己的操作,请尽快禁用且替换AccessKey。 | |
AccessKey异常调用 | 检测模型发现您的账号进行了可疑的API调用行为,可能存在被盗用的风险。 | |
RAM子账号异地登录 | 检测模型发现您的RAM子账号在异地进行了登录,可能存在被盗用的风险。 | |
OSS可疑访问行为 | 检测模型发现您的OSS出现了可疑的访问行为。 |
通过分析流量内容得出的告警
告警类型 | 具体检测项 | 检测原理说明 |
异常网络连接 | 访问恶意域名 | 检测模型从DNS流量中发现您的服务器请求解析过这个风险系数高的域名,这个域名可能是远控、僵尸网络组织、矿池地址等恶意域名,这意味着您的服务器可能已经沦陷并被黑客利用。 |
可疑Meterpreter反弹Shell连接 | 检测模型发现您的服务器上存在可疑进程,正在尝试利用黑客工具Meterpreter将命令控制通道反弹至攻击者的服务器。 | |
矿池通信行为 | 检测模型发现您的服务器存在与矿池IP通信的流量,您的服务器可能已被攻击者入侵并用于挖矿。 | |
异常网络流量 | 检测模型通过分析您服务器的流量,发现存在异常的网络流量通信,可能是成功的漏洞利用、恶意软件通信、敏感信息泄露、可疑的代理隧道等,请根据告警详情信息做进一步判断处理。 | |
主动连接恶意下载源 | 检测模型通过HTTP流量发现您的服务器正在尝试访问一个可疑的恶意下载源,可能是黑客通过弱口令或命令执行漏洞,从远程服务器下载恶意文件,危害服务器安全。 | |
Redis执行异常指令 | 检测模型发现到有攻击者连接您的Redis服务后执行了恶意SQL,可能导致您的服务器被攻击者控制。 | |
Web应用威胁检测 | 成功的SQL注入攻击 | 检测模型通过分析HTTP流量发现您服务器上的Web服务疑似存在SQL注入漏洞并已被黑客利用。 |
高危漏洞成功利用 | 检测模型通过分析HTTP流量发现您的服务器存在高危Web漏洞,并且已被攻击者成功利用。 | |
敏感文件泄露 | 检测模型通过分析HTTP流量发现您服务器上的敏感文件被外部IP通过HTTP接口直接访问,该行为可能会导致您的敏感数据泄露,从而引发攻击者进一步的攻击。 | |
疑似成功的Web攻击 | 检测模型发现您服务器的HTTP请求日志中存在命令语句,并且对应的响应中存在命令执行的结果,这意味着您的服务器的Web服务可能存在命令执行漏洞并被黑客利用。 |
通过分析文件内容得出的告警
告警类型 | 具体检测项 | 检测原理说明 |
持久化后门 | Linux可疑计划任务 | 检测模型发现您服务器上存在可疑的计划任务,这可能被攻击者在入侵机器后进行的持久化行为。 |
恶意脚本 | 发现恶意脚本文件 | 检测模型发现您的服务器上存在恶意脚本文件,该文件极有可能是攻击者成功入侵服务器后植入的,建议您根据恶意脚本的标签检查文件内容的合法性并进行处理。 |
恶意软件 | 被污染的基础软件 | 检测模型发现您的服务器上存在被污染的基础软件,被污染的基础软件是一类特殊的恶意程序,一般是被植入了恶意代码的正常系统程序,虽然具备原始基础软件的功能但具有隐藏的恶意行为。 |
恶意程序 | 检测模型发现您的服务器上运行了恶意程序,恶意程序一般是具备多种恶意行为特征的程序,或者具备骚扰、破坏行为的第三方程序。 | |
感染型病毒 | 检测模型发现您的服务器上运行了感染型病毒,感染型病毒是一类高级恶意程序,由病毒本体将恶意代码写入正常程序文件执行,因此往往有大量原本正常程序被感染后作为宿体被检出。 | |
黑客工具 | 检测模型发现您的服务器上存在黑客工具,黑客工具是攻击者在入侵过程中用于权限提升、窃取敏感数据的工具,或用于卸载安全软件的程序,或入侵后植入系统的后门程序。 | |
后门程序 | 检测模型发现您的服务器上运行了后门程序,后门程序是植入到系统中,用于给黑客对服务器做持续入侵的持久化程序。 | |
可疑程序 | 检测模型发现您的服务器上运行了可疑程序,可疑程序一般是具有一定恶意代码特征或高可疑度行为特征的、暂未明确分类的程序,需要用户结合信息判断。 | |
勒索病毒 | 检测模型发现您的服务器上运行了勒索病毒,勒索病毒是一类恶性程序,会对服务器上所有关键数据文件进行加密锁定以勒索赎金。 | |
木马程序 | 检测模型发现您的服务器上存在木马程序,木马程序是专门用于侵入用户服务器的程序,一般通过伪装植入系统后会下载、释放另外的恶意程序。 | |
蠕虫病毒 | 检测模型发现您的服务器上运行了蠕虫病毒,蠕虫病毒是一类用于从已攻陷服务器,向其它服务器做攻击横向移动的程序,往往包括漏洞利用、密码爆破等行为。 | |
挖矿程序 | 检测模型发现您的服务器上运行了挖矿程序,挖矿程序是一类侵占服务器计算资源,进行虚拟货币挖掘的程序,服务器往往可见CPU占用飙高,以及其它相关的恶意程序。 | |
自变异木马 | 检测模型发现您的服务器上运行了自变异,自变异木马是具备自变异功能的木马程序,它会改变自身hash或者将自身大量复制到不同的路径下,并后台运行起来,以躲避清理。 | |
DDoS木马 | 检测模型发现您的服务器上运行了DDoS木马,DDoS木马是用于从被攻陷服务器上接受指令,对黑客指定目标发起DDoS攻击的恶意程序。 | |
Rootkit | 检测模型发现您的服务器上存在Rootkit,Rootkit是一类植入到系统底层、用于隐藏自身或其它恶意程序痕迹的恶意模块。 | |
网站后门 | 发现后门(WebShell)文件 | 检测模型在您的服务器上发现了一个可疑的WebShell文件,可能是攻击者成功入侵网站后为维持权限植入的后门文件。 |
适用Fileless攻击手法的告警
告警类型 | 具体检测项 | 检测原理说明 |
持久化后门 | 疑似后门 | 检测模型发现您的服务器上存在wmi或bitsadmin后门,可能是攻击者在入侵后用来维持对您的服务器权限。 |
异常代码驻留内存 | 检测模型发现您的服务器上某进程的内存空间中疑似存在恶意指令,该进程可能为攻击者在入侵后遗留的恶意软件,或者是向正常的进程注入了恶意的代码。 | |
异常注册表项 | 检测模型发现您服务器上的某个注册表配置项可疑,恶意软件常常会修改某些关键注册表配置来持久化运行或干扰正常的安全防护。 | |
CobaltStrike远控木马 | 检测模型发现您服务器上某个进程内存空间内存在CobaltStrike远控木马的恶意代码,可能该进程即为恶意程序或正常程序被注入了恶意指令。 | |
恶意脚本 | 恶意脚本代码执行 | 检测模型发现您的服务器上正在执行恶意的Bash、PowerShell、Python等脚本代码。 |
进程异常行为 | 服务应用执行可疑命令 | 检测模型根据您服务器上的进程历史行为自动分析,发现该服务进程启动的命令较为可疑,可能是攻击者在利用该服务的RCE漏洞成功执行了命令。 |
可疑注册表配置项修改 | 检测模型发现您服务器上有进程尝试修改注册表配置,可能是攻击者在获取服务器权限后写入后门代码或修改敏感配置。 | |
Java应用执行异常指令 | 检测模型发现您的服务器上的Java进程启动了下载恶意程序、添加后门等高危行为,很可能是因为您使用了存在漏洞的Web框架或者中间件导致。 | |
Linux计划任务执行异常指令 | 检测模型发现您服务器的计划任务执行了异常命令,可能是攻击者在入侵服务器后,为维持权限,将恶意命令写入到计划任务中。 | |
Python应用执行异常指令 | 检测模型发现您服务器上的Python应用执行异常命令,可能是由于您服务器上通过Python搭建的Web应用存在RCE漏洞并被利用成功。 | |
Tomcat执行异常指令 | 检测模型发现您的Tomcat容器执行了异常命令,可能是攻击者通过Tomcat容器中Java应用存在的RCE漏洞或WebShell执行了恶意命令。 |