最近更新时间:2022-04-01
入侵威胁用于处理各类入侵事件及具有高度威胁的事件,支持识别并处置如下入侵威胁事件:
病毒木马
病毒木马程序通常会窃取用户数据或者对外攻击,消耗大量系统资源导致业务不能正常提供服务。轻代理会采集可疑病毒木马程序的哈希指纹到云端,通过云查杀模块对哈希进行检测识别。
若确认文件是恶意的,可以对单个文件进行隔离,或者批量选择进行一键隔离,隔离成功后,原始恶意文件将被加密隔离,后期可以在隔离区进行恢复。如果文件非恶意的,可以选择信任操作,加入信任后,主机安全将不再对该文件进行检测,后期可以在信任区对信任文件进行管理。
网页后门
网站后门木马又叫webshell,一般是黑客通过漏洞入侵网站后放置的ASP、PHP、JSP等动态脚本。黑客可以通过后门木马持续控制服务器,进行文件上传下载、执行命令等各种破坏行为,对网站安全危害极大。
主机安全可以实时准确的查杀各类木马恶意文件,同时提供恶意文件检测和一键隔离等功能,第一时间清除木马后门文件,确保用户服务器的安全。
反弹shell
主机安全支持反弹shell检测识别及事件关闭,通过对反弹shell事件进行检测识别可入侵攻击;展示安全体检和实时防护的反弹shell进程、进程运行参数、父进程和父进程运行参数、本地地址和反弹的目的地址;对于信任主机支持添加白名单设置,可查看白名单列表。
异常账号
主机安全支持影子账号、篡改系统账号的检测识别及事件关闭,影子账号支持禁用处理;对于信任主机支持添加白名单设置,可查看白名单列表。影子账号是隐藏的账户,有管理员权限的账户,影子帐号的产生,很可能是系统被入侵后黑客或者入侵者对系统帐号进行了修改。对影子账号进行禁用处理有助于保障主机安全。
日志异常删除
主机安全支持日志异常删除的检测识别及事件关闭,黑客入侵后可能对相关日志信息进行删除,检测识别日志异常删除事件并产生告警能够帮助安全人员及时跟进做确认。对于信任主机支持添加白名单设置,可查看白名单列表。
异常登录
主机安全支持异常地点登录、异常IP段登录、异常时间登录、异常计算机名登录、暴力破解登录5种异常登录类型检测及事件关闭。异常登录意味着主机相关密码已经被窃取或破解,检测识别异常登录事件可及时发现主机风险,及时进行补救。
异常进程
主机安全支持子进程权限高于父进程、隐藏进程、隐藏端口进程3种异常进程的检测识别及事件关闭。隐藏端口进程在系统中查看未能发现,但实际却在系统中被监听的端口,极大可能是系统遭遇入侵后被植入的恶意木马程序开启的服务;隐藏进程在系统中查看未能发现,但实际却在系统中运行的进程,极大可能是系统遭遇入侵后被植入的恶意木马程序。对于信任主机支持添加白名单设置,可查看白名单列表。及时检测识别异常进程并关闭异常进程有助于保障主机安全。
系统命令篡改
支持系统命令校验的检测识别及事件关闭;系统命令如果被恶意修改,可能会导致用户在使用系统命令时,实际使用的是被修改后的恶意程序,导致信息泄露或被入侵。对于信任主机支持添加白名单设置,可查看白名单列表。及时检测识别系统命令校验事件,通过重新安装系统命令对应的包,对系统命令进行修复有助于保障主机安全。
本地提权
主机安全支持本地提权的检测识别及事件关闭,支持风险及主机过滤,通过发现时间、出来状态、提权进程、进程所属用户等信息进行风险过滤,通过主机名称、分组、标签、状态、内核版本等信息进行主机过滤,对于信任主机支持添加白名单设置,可查看白名单列表;支持提权事件详细信息导出。