Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.

Centro de ayuda> Host Security Service (New)> Guía del usuario> Detección de intrusiones> Alarmas> Alarmas de servidor> Eventos de alarma de servidor

Actualización más reciente 2022-12-29 GMT+08:00

Ver PDF

Eventos de alarma de servidor

El servicio genera alarmas en 13 tipos de eventos de intrusión, incluidos ataques de fuerza bruta, comportamiento de procesos anormales, web shells, inicios de sesión anormales y procesos maliciosos. Puede aprender todos estos eventos en la consola y eliminar los riesgos de seguridad en sus activos de manera oportuna.

Tipos de alarma de servidor

Tipo de evento	Nombre de la alarma	Descripción	Edición empresarial	Edición prémium	Web Tamper Protection
Malware	Malicious programs	Los programas maliciosos incluyen troyanos y web shells implantados por hackers para robar sus datos o controlar sus servidores. Por ejemplo, los hackers probablemente usarán sus servidores como mineros o zombies DDoS. Esto ocupa un gran número de recursos de CPU y de red, lo que afecta a la estabilidad del servicio. Comprobar malware, como shells web, caballos de Troya, software de minería, gusanos y otros virus y variantes, y matarlos con un solo clic. El malware se encuentra y elimina mediante el análisis de las características y comportamientos del programa, algoritmos de huellas dactilares de imagen AI y escaneo y matanza en la nube.	√ (Isolate and kill)	√ (Isolate and kill)	√ (Isolate and kill)
	Ransomware	Compruebe el ransomware incrustado en medios como páginas web, software, correos electrónicos y medios de almacenamiento. El ransomware se utiliza para cifrar y controlar sus activos de datos, como documentos, correos electrónicos, bases de datos, código fuente, imágenes y archivos comprimidos, para aprovechar la extorsión de las víctimas.	×	√	√
	Web shells	Compruebe si los archivos (a menudo archivos PHP y JSP) en sus directorios web son shells web. Puede configurar la regla de detección de shell web en la regla de Web Shell Detection en la página Policies. HSS comprobará si hay comandos sospechosos o ejecutados remotamente. Es necesario agregar un directorio protegido en la gestión de políticas. Para más detalles, consulte Detección de Web Shell.	×	√	√
	Reverse shells	Supervise los comportamientos de los procesos del usuario en tiempo real para detectar shells inversos causados por conexiones no válidas. Se pueden detectar shells inversos para protocolos como TCP, UDP e ICMP. Puede configurar la regla de detección de shell inverso en la regla de Malicious File Detection de la página Policies. HSS comprobará si hay comandos sospechosos o ejecutados remotamente.	×	√	√
Exploits Used	Exploit Attack	Detecte intrusiones en el servidor explotando vulnerabilidades en tiempo real y reporte alarmas.	√	√	√
Abnormal system behavior	File privilege escalations	Después de que los piratas informáticos intruyan los servidores, intentarán explotar las vulnerabilidades para concederse los permisos de root o agregar permisos para los archivos. De esta manera, pueden crear cuentas del sistema ilegalmente, modificar permisos de cuenta y manipular archivos. HSS detecta la escalada de privilegios para procesos y archivos en el sistema actual. Se pueden detectar las siguientes operaciones de escalada de privilegios anormales: Escalada de privilegios raíz mediante la explotación de las vulnerabilidades del programa SUID Escalada de privilegios de root mediante la explotación de vulnerabilidades del kernel Escalada de privilegios de archivo	×	√	√
	Process privilege escalations		×	√	√
	Important file changes	Si los hackers informáticos se introducen en su sistema, es probable que alteren los archivos importantes del sistema para forjar identidades o prepararse para ataques adicionales. Supervise los archivos clave (como ls, ps, login, y top) y directorios, e informe de alarmas si se detectan modificaciones. Para obtener más información sobre las rutas supervisadas, consulte Rutas de acceso de archivo importantes supervisadas. La información de cambio de archivo clave incluye las rutas de acceso de los archivos modificados, la última hora de modificación y los nombres de los servidores que almacenan los archivos de configuración. La información de cambio de directorio de archivos incluye el alias de archivo, las rutas de acceso de los archivos modificados y los nombres de los servidores que almacenan los archivos de configuración. Puede agregar bibliotecas de huellas dactilares de archivos críticos para una mejor recopilación de información de archivos críticos y detección de excepciones. HSS solo comprueba si los directorios o archivos han sido modificados, no si son modificados manualmente o por un proceso.	√	√	√
	File/Directory changes		√	√	√
	Abnormal process behavior	Compruebe los procesos en los servidores, incluidos sus identificadores, líneas de comandos, rutas de proceso y comportamiento. Envíe alarmas sobre operaciones e intrusiones de procesos no autorizados. Se puede detectar el siguiente comportamiento anormal del proceso: Uso anormal de la CPU Procesos que acceden a direcciones IP maliciosas Aumento anormal de las conexiones de proceso simultáneo	√	√	√
	High-risk command executions	Puede configurar qué comandos desencadenarán alarmas en la regla High-risk Command Scan en la página Policies. HSS comprueba los comandos ejecutados en tiempo real y genera alarmas si se detectan comandos de alto riesgo.	×	√	√
	Abnormal shells	Detecte acciones en shells anormales, como mover, copiar y eliminar archivos de shell, y modificar los permisos de acceso y los enlaces duros de los archivos. Puede configurar la regla de detección de shell anormal en la regla de Malicious File Detection de la página Policies. HSS comprobará si hay comandos sospechosos o ejecutados remotamente.	×	√	√
	Crontab Suspicious Task	Compruebe y enumere los servicios iniciados automáticamente, las tareas programadas, las bibliotecas dinámicas precargadas, las claves de registro de ejecución y las carpetas de inicio. Puede recibir una notificación inmediatamente cuando se detectan elementos de inicio automático anormales y localizar rápidamente troyanos.	×	√	√
Abnormal user behavior	Brute-force attacks	Si los hackers inician sesión en sus servidores a través de ataques de fuerza bruta, pueden obtener los permisos de control de los servidores y realizar operaciones maliciosas, como robar datos del usuario; implantar ransomware, mineros o troyanos; cifrar datos; o utilizar sus servidores como zombies para realizar ataques DDoS. Detecte ataques de fuerza bruta en cuentas SSH, RDP, FTP, SQL Server y MySQL. Si el número de ataques de fuerza bruta (intentos de contraseña incorrectos consecutivos) de una dirección IP alcanza 5 en 30 segundos, la dirección IP se bloqueará. De forma predeterminada, los atacantes SSH sospechosos están bloqueados durante 12 horas. Otros tipos de atacantes sospechosos están bloqueados durante 24 horas. Puede comprobar si la dirección IP es confiable en función de su tipo de ataque y cuántas veces ha sido bloqueada. Puede desbloquear manualmente las direcciones IP en las que confía.	√	√	√
	Abnormal logins	Detecte un comportamiento de inicio de sesión anormal, como el inicio de sesión remoto y los ataques de fuerza bruta. Si se reportan inicios de sesión anormales, sus servidores pueden haber sido intruidos por piratas informáticos. Compruebe y maneje los inicios de sesión remotos. Puede comprobar las direcciones IP de inicio de sesión bloqueadas y quién las usó para iniciar sesión en qué servidor a qué hora. Si la ubicación de inicio de sesión de un usuario no es una ubicación de inicio de sesión común que establezca, se activará una alarma. Activar una alarma si un usuario inicia sesión mediante un ataque de fuerza bruta.	√	√	√
	Invalid accounts	Los hackers probablemente pueden descifrar cuentas inseguras en sus servidores y controlar los servidores. HSS comprueba cuentas ocultas sospechosas y cuentas clonadas y genera alarmas en ellas.	√	√	√

Rutas de acceso de archivo importantes supervisadas

Tipo	Linux
bin	/bin/ls /bin/ps /bin/bash /bin/netstat /bin/login /bin/find /bin/lsmod /bin/pidof /bin/lsof /bin/ss
usr	/usr/bin/ls /usr/bin/ps /usr/sbin/ps /usr/bin/bash /usr/bin/netstat /usr/sbin/netstat /usr/sbin/rsyslogd /usr/sbin/ifconfig /usr/bin/login /usr/bin/find /usr/sbin/lsmod /usr/sbin/pidof /usr/bin/lsof /usr/sbin/lsof /usr/sbin/tcpd /usr/bin/passwd /usr/bin/top /usr/bin/du /usr/bin/chfn /usr/bin/chsh /usr/bin/killall /usr/bin/ss /usr/sbin/ss /usr/bin/ssh /usr/bin/scp
sbin	/sbin/syslog-ng /sbin/rsyslogd /sbin/ifconfig /sbin/lsmod /sbin/pidof

Tipo

Linux

bin

/bin/ls

/bin/ps

/bin/bash

/bin/netstat

/bin/login

/bin/find

/bin/lsmod

/bin/pidof

/bin/lsof

/bin/ss

usr

/usr/bin/ls

/usr/bin/ps

/usr/sbin/ps

/usr/bin/bash

/usr/bin/netstat

/usr/sbin/netstat

/usr/sbin/rsyslogd

/usr/sbin/ifconfig

/usr/bin/login

/usr/bin/find

/usr/sbin/lsmod

/usr/sbin/pidof

/usr/bin/lsof

/usr/sbin/lsof

/usr/sbin/tcpd

/usr/bin/passwd

/usr/bin/top

/usr/bin/du

/usr/bin/chfn

/usr/bin/chsh

/usr/bin/killall

/usr/bin/ss

/usr/sbin/ss

/usr/bin/ssh

/usr/bin/scp

sbin

/sbin/syslog-ng

/sbin/rsyslogd

/sbin/ifconfig

/sbin/lsmod

/sbin/pidof

Tema principal: Alarmas de servidor

Tema anterior: Alarmas de servidor

Tema siguiente: Comprobación y manejo de alarmas de servidor

Comentarios

¿Le pareció útil esta página?

Sí No

Deje algún comentario

Muchas gracias por sus comentarios. Seguiremos trabajando para mejorar la documentación.

El sistema está ocupado. Vuelva a intentarlo más tarde.

¿Cuáles de los siguientes problemas se presentaron?

Contenido diferente a la de la IU del producto

Descripciones poco claras

Falta de ejemplos o código

Pasos incorrectos

No puedo encontrar lo que necesito

Falta de prácticas recomendadas

Comentarios (opcional)

0/500

Seleccione al menos un tipo de problema e ingrese sus comentarios o sugerencias.

Ingrese 500 caracteres como máximo.

Enviar Cancelar