文档中心 > 入侵威胁
入侵威胁

最近更新时间:2021-03-12

入侵威胁管理用以展示及处理各类入侵事件及具有高度威胁的事件,支持识别并处置的入侵威胁事件包括:病毒木马、网页后门、反弹 shell、异常账号、日志删除、异常登录、异常进程、系统命令校验等。
主机安全对接国内外主流查杀引擎,可检测出恶意进程及软件,并提供隔离、信任等功能。您可在主机安全控制台入侵威胁页面查看入侵概览信息。

image

威胁分析

您可在主机安全控制台入侵威胁页面查看攻击趋势及攻击类型分布情况。

image

病毒木马

病毒木马程序通常会窃取您的数据或者对外攻击,消耗大量系统资源导致业务不能正常提供服务。轻代理会采集可疑病毒木马程序的哈希指纹到云端,通过云查杀模块对哈希进行检测识别。
若确认文件是恶意的,可以对单个文件进行隔离,或者批量选择进行一键隔离,隔离成功后,原始恶意文件将被加密隔离,后期可以在隔离区进行恢复。
如果文件非恶意的,可以选择信任操作,加入信任后,主机安全将不再对该文件进行检测,后期可以在信任区对信任文件进行管理。

image

网页后门

网站后门木马又叫 webshell,一般是黑客通过漏洞入侵网站后放置的 ASP、PHP、JSP 等动态脚本。黑客可以通过后门木马持续控制服务器,进行文件上传下载、执行命令等各种破坏行为,对网站安全危害极大。
主机安全可以实时准确的查杀各类木马恶意文件,同时提供恶意文件检测和一键隔离等功能,第一时间清除木马后门文件,确保您的服务器的安全。

image

image

反弹shell

主机安全支持反弹 shell 检测识别及事件关闭,通过对反弹 shell 事件进行检测识别可入侵攻击。

image

异常账号

主机安全支持影子账号、篡改系统账号的检测识别及事件关闭,影子账号支持禁用处理;影子账号是隐藏的账户,有管理员权限的账户,影子帐号的产生,很可能是系统被入侵后黑客或者入侵者对系统帐号进行了修改。对影子账号进行禁用处理有助于保障主机安全。

image

日志删除

主机安全支持日志删除的检测识别及事件关闭,黑客入侵后可能对相关日志信息进行删除,检测识别日志删除事件并产生告警能够帮助安全人员及时跟进做确认。

image

异常登录

主机安全支持异常地点登陆、异常 IP 段登录、异常时间登录、暴力破解登录 4 种异常登录类型检测及事件关闭。异常登录意味着主机相关密码已经被窃取或破解,检测识别异常登录事件可及时发现主机风险,及时进行补救。

image

异常进程

主机安全支持子进程权限高于父进程、隐藏进程、隐藏端口进程 3 种异常进程的检测识别及事件关闭。隐藏端口进程在系统中查看未能发现,但实际却在系统中被监听的端口,极大可能是系统遭遇入侵后被植入的恶意木马程序开启的服务;隐藏进程在系统中查看未能发现,但实际却在系统中运行的进程,极大可能是系统遭遇入侵后被植入的恶意木马程序。及时检测识别异常进程并关闭异常进程有助于保障主机安全。

image

系统命令校验

支持系统命令校验的检测识别及事件关闭;系统命令如果被恶意修改,可能会导致您在使用系统命令时,实际使用的是被修改后的恶意程序,导致信息泄露或被入侵。及时检测识别系统命令校验事件,通过重新安装系统命令对应的包,对系统命令进行修复有助于保障主机安全。

image