2
条回答
写回答
写回答
-
现在云上项目中所有服务器都有专门的EDR产品,并且结合阿里云云安全中心的(基线检查,漏洞扫描)功能进行相关报警设定。
当收到安全事件提醒时,一般会按照以下流程进行处理。
1.收到安全事件提醒
2.事件内容排查,确认影响范围。
3.事件溯源,证据链保存,报告生成
4.事后结合云安全中心建议进行安全设定变更
5.PDCA安全检查2025-01-08 13:25:28赞同 2 展开评论 打赏 -
分享一下我碰到过的一个安全事件告警,这是系统被入侵了,植入了木马,这个恶意程序使用我的服务器在进行挖矿啥的,导致我的服务器cpu跑满,阿里云检查到之后直接把我的6379端口给禁用了。
1我是先登录系统,把占用cpu高的进程杀掉;
2检查定时任务中有没有未知的任务,删除crontab中不需要的任务
3检查know_hosts中可疑的秘钥
4检查hosts文件中的ip
5然后根据邮件提示内容中的执行脚本修改系统中的命令,比如恶意脚本很多都会使用curl,wget去下载真实的运行脚本,可以把这个命令改成其他的命令,比如这样mv /usr/bin/curl /usr/bin/curl2 把curl命令改成了curl2了,这样脚本就执行不了
6加强系统登录的控制,在安全组中关闭不需要的端口,对使用的端口进行管控。2025-01-07 14:53:19赞同 17 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
热门讨论
热门文章
“99套餐”ECS云端问答节!回答问题赢阿里云纪念衫、加湿器等好礼!
560
ECS的53端口默认对互联网开放吗?
4737
如何修改幻兽帕鲁联服务器中的配置参数,如经验值倍率等?
19348
实验室的入口在哪啊,网页每个地方我都点了就是没找到入口QAQ
4666
阿里云Docker无法pull镜像,疑似被蔷?
9103
阿里云幻兽帕鲁服务器可以添加mod吗?
1726
无法通过公网IP访问Web网页
5583
阿里云的海外服务器怎么购买
1477
我想买服务器地域如何选择?
2817
发送excel文件,在钉钉上打开报错误。OfficeImportErrorDomain错误912
13346
展开全部
