Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Cómputo
Elastic Cloud Server
Bare Metal Server
Auto Scaling
Image Management Service
Dedicated Host
FunctionGraph
Cloud Phone Host
Huawei Cloud EulerOS
Redes
Virtual Private Cloud
Elastic IP
Elastic Load Balance
NAT Gateway
Direct Connect
Virtual Private Network
VPC Endpoint
Cloud Connect
Enterprise Router
Enterprise Switch
Global Accelerator
Gestión y gobernanza
Cloud Eye
Identity and Access Management
Cloud Trace Service
Resource Formation Service
Tag Management Service
Log Tank Service
Config
Resource Access Manager
Simple Message Notification
Application Performance Management
Application Operations Management
Organizations
Optimization Advisor
Cloud Operations Center
Resource Governance Center
Migración
Server Migration Service
Object Storage Migration Service
Cloud Data Migration
Migration Center
Cloud Ecosystem
KooGallery
Partner Center
User Support
My Account
Billing Center
Cost Center
Resource Center
Enterprise Management
Service Tickets
HUAWEI CLOUD (International) FAQs
ICP Filing
Support Plans
My Credentials
Customer Operation Capabilities
Partner Support Plans
Professional Services
Análisis
MapReduce Service
Data Lake Insight
CloudTable Service
Cloud Search Service
Data Lake Visualization
Data Ingestion Service
GaussDB(DWS)
DataArts Studio
IoT
IoT Device Access
Otros
Product Pricing Details
System Permissions
Console Quick Start
Common FAQs
Instructions for Associating with a HUAWEI CLOUD Partner
Message Center
Seguridad y cumplimiento
Security Technologies and Applications
Web Application Firewall
Host Security Service
Cloud Firewall
SecMaster
Data Encryption Workshop
Database Security Service
Cloud Bastion Host
Data Security Center
Cloud Certificate Manager
Situation Awareness
Managed Threat Detection
Blockchain
Blockchain Service
Servicios multimedia
Media Processing Center
Video On Demand
Live
SparkRTC
Almacenamiento
Object Storage Service
Elastic Volume Service
Cloud Backup and Recovery
Storage Disaster Recovery Service
Scalable File Service
Volume Backup Service
Cloud Server Backup Service
Data Express Service
Dedicated Distributed Storage Service
Contenedores
Cloud Container Engine
SoftWare Repository for Container
Application Service Mesh
Ubiquitous Cloud Native Service
Cloud Container Instance
Bases de datos
Relational Database Service
Document Database Service
Data Admin Service
Data Replication Service
GeminiDB
GaussDB
Distributed Database Middleware
Database and Application Migration UGO
TaurusDB
Middleware
Distributed Cache Service
API Gateway
Distributed Message Service for Kafka
Distributed Message Service for RabbitMQ
Distributed Message Service for RocketMQ
Cloud Service Engine
EventGrid
Dedicated Cloud
Dedicated Computing Cluster
Aplicaciones empresariales
ROMA Connect
Message & SMS
Domain Name Service
Edge Data Center Management
Meeting
AI
Face Recognition Service
Graph Engine Service
Content Moderation
Image Recognition
Data Lake Factory
Optical Character Recognition
ModelArts
ImageSearch
Conversational Bot Service
Speech Interaction Service
Huawei HiLens
Developer Tools
SDK Developer Guide
API Request Signing Guide
Terraform
Koo Command Line Interface
Distribución de contenido y cómputo de borde
Content Delivery Network
Intelligent EdgeFabric
CloudPond
Soluciones
SAP Cloud
High Performance Computing
Servicios para desarrolladores
ServiceStage
CodeArts
CodeArts PerfTest
CodeArts Req
CodeArts Pipeline
CodeArts Build
CodeArts Deploy
CodeArts Artifact
CodeArts TestPlan
CodeArts Check
Cloud Application Engine
aPaaS MacroVerse
KooPhone
KooDrive

Eventos de alarma de servidor

Actualización más reciente 2022-12-29 GMT+08:00

El servicio genera alarmas en 13 tipos de eventos de intrusión, incluidos ataques de fuerza bruta, comportamiento de procesos anormales, web shells, inicios de sesión anormales y procesos maliciosos. Puede aprender todos estos eventos en la consola y eliminar los riesgos de seguridad en sus activos de manera oportuna.

Tipos de alarma de servidor

Tipo de evento

Nombre de la alarma

Descripción

Edición empresarial

Edición prémium

Web Tamper Protection

Malware

Malicious programs

Los programas maliciosos incluyen troyanos y web shells implantados por hackers para robar sus datos o controlar sus servidores.

Por ejemplo, los hackers probablemente usarán sus servidores como mineros o zombies DDoS. Esto ocupa un gran número de recursos de CPU y de red, lo que afecta a la estabilidad del servicio.

Comprobar malware, como shells web, caballos de Troya, software de minería, gusanos y otros virus y variantes, y matarlos con un solo clic. El malware se encuentra y elimina mediante el análisis de las características y comportamientos del programa, algoritmos de huellas dactilares de imagen AI y escaneo y matanza en la nube.

(Isolate and kill)

(Isolate and kill)

(Isolate and kill)

Ransomware

Compruebe el ransomware incrustado en medios como páginas web, software, correos electrónicos y medios de almacenamiento.

El ransomware se utiliza para cifrar y controlar sus activos de datos, como documentos, correos electrónicos, bases de datos, código fuente, imágenes y archivos comprimidos, para aprovechar la extorsión de las víctimas.

×

Web shells

Compruebe si los archivos (a menudo archivos PHP y JSP) en sus directorios web son shells web.

Puede configurar la regla de detección de shell web en la regla de Web Shell Detection en la página Policies. HSS comprobará si hay comandos sospechosos o ejecutados remotamente.

Es necesario agregar un directorio protegido en la gestión de políticas. Para más detalles, consulte Detección de Web Shell.

×

Reverse shells

Supervise los comportamientos de los procesos del usuario en tiempo real para detectar shells inversos causados por conexiones no válidas.

Se pueden detectar shells inversos para protocolos como TCP, UDP e ICMP.

Puede configurar la regla de detección de shell inverso en la regla de Malicious File Detection de la página Policies. HSS comprobará si hay comandos sospechosos o ejecutados remotamente.

×

Exploits Used

Exploit Attack

Detecte intrusiones en el servidor explotando vulnerabilidades en tiempo real y reporte alarmas.

Abnormal system behavior

File privilege escalations

Después de que los piratas informáticos intruyan los servidores, intentarán explotar las vulnerabilidades para concederse los permisos de root o agregar permisos para los archivos. De esta manera, pueden crear cuentas del sistema ilegalmente, modificar permisos de cuenta y manipular archivos.

HSS detecta la escalada de privilegios para procesos y archivos en el sistema actual.

Se pueden detectar las siguientes operaciones de escalada de privilegios anormales:

  • Escalada de privilegios raíz mediante la explotación de las vulnerabilidades del programa SUID
  • Escalada de privilegios de root mediante la explotación de vulnerabilidades del kernel
  • Escalada de privilegios de archivo

×

Process privilege escalations

Important file changes

Si los hackers informáticos se introducen en su sistema, es probable que alteren los archivos importantes del sistema para forjar identidades o prepararse para ataques adicionales.

  • Supervise los archivos clave (como ls, ps, login, y top) y directorios, e informe de alarmas si se detectan modificaciones. Para obtener más información sobre las rutas supervisadas, consulte Rutas de acceso de archivo importantes supervisadas.
  • La información de cambio de archivo clave incluye las rutas de acceso de los archivos modificados, la última hora de modificación y los nombres de los servidores que almacenan los archivos de configuración.
  • La información de cambio de directorio de archivos incluye el alias de archivo, las rutas de acceso de los archivos modificados y los nombres de los servidores que almacenan los archivos de configuración.
  • Puede agregar bibliotecas de huellas dactilares de archivos críticos para una mejor recopilación de información de archivos críticos y detección de excepciones.

HSS solo comprueba si los directorios o archivos han sido modificados, no si son modificados manualmente o por un proceso.

File/Directory changes

Abnormal process behavior

Compruebe los procesos en los servidores, incluidos sus identificadores, líneas de comandos, rutas de proceso y comportamiento.

Envíe alarmas sobre operaciones e intrusiones de procesos no autorizados.

Se puede detectar el siguiente comportamiento anormal del proceso:

  • Uso anormal de la CPU
  • Procesos que acceden a direcciones IP maliciosas
  • Aumento anormal de las conexiones de proceso simultáneo

High-risk command executions

Puede configurar qué comandos desencadenarán alarmas en la regla High-risk Command Scan en la página Policies.

HSS comprueba los comandos ejecutados en tiempo real y genera alarmas si se detectan comandos de alto riesgo.

×

Abnormal shells

Detecte acciones en shells anormales, como mover, copiar y eliminar archivos de shell, y modificar los permisos de acceso y los enlaces duros de los archivos.

Puede configurar la regla de detección de shell anormal en la regla de Malicious File Detection de la página Policies. HSS comprobará si hay comandos sospechosos o ejecutados remotamente.

×

Crontab Suspicious Task

Compruebe y enumere los servicios iniciados automáticamente, las tareas programadas, las bibliotecas dinámicas precargadas, las claves de registro de ejecución y las carpetas de inicio.

Puede recibir una notificación inmediatamente cuando se detectan elementos de inicio automático anormales y localizar rápidamente troyanos.

×

Abnormal user behavior

Brute-force attacks

Si los hackers inician sesión en sus servidores a través de ataques de fuerza bruta, pueden obtener los permisos de control de los servidores y realizar operaciones maliciosas, como robar datos del usuario; implantar ransomware, mineros o troyanos; cifrar datos; o utilizar sus servidores como zombies para realizar ataques DDoS.

Detecte ataques de fuerza bruta en cuentas SSH, RDP, FTP, SQL Server y MySQL.
  • Si el número de ataques de fuerza bruta (intentos de contraseña incorrectos consecutivos) de una dirección IP alcanza 5 en 30 segundos, la dirección IP se bloqueará.

    De forma predeterminada, los atacantes SSH sospechosos están bloqueados durante 12 horas. Otros tipos de atacantes sospechosos están bloqueados durante 24 horas.

  • Puede comprobar si la dirección IP es confiable en función de su tipo de ataque y cuántas veces ha sido bloqueada. Puede desbloquear manualmente las direcciones IP en las que confía.

Abnormal logins

Detecte un comportamiento de inicio de sesión anormal, como el inicio de sesión remoto y los ataques de fuerza bruta. Si se reportan inicios de sesión anormales, sus servidores pueden haber sido intruidos por piratas informáticos.

  • Compruebe y maneje los inicios de sesión remotos.

    Puede comprobar las direcciones IP de inicio de sesión bloqueadas y quién las usó para iniciar sesión en qué servidor a qué hora.

    Si la ubicación de inicio de sesión de un usuario no es una ubicación de inicio de sesión común que establezca, se activará una alarma.

  • Activar una alarma si un usuario inicia sesión mediante un ataque de fuerza bruta.

Invalid accounts

Los hackers probablemente pueden descifrar cuentas inseguras en sus servidores y controlar los servidores.

HSS comprueba cuentas ocultas sospechosas y cuentas clonadas y genera alarmas en ellas.

Rutas de acceso de archivo importantes supervisadas

Tipo

Linux

bin

/bin/ls

/bin/ps

/bin/bash

/bin/netstat

/bin/login

/bin/find

/bin/lsmod

/bin/pidof

/bin/lsof

/bin/ss

usr

/usr/bin/ls

/usr/bin/ps

/usr/sbin/ps

/usr/bin/bash

/usr/bin/netstat

/usr/sbin/netstat

/usr/sbin/rsyslogd

/usr/sbin/ifconfig

/usr/bin/login

/usr/bin/find

/usr/sbin/lsmod

/usr/sbin/pidof

/usr/bin/lsof

/usr/sbin/lsof

/usr/sbin/tcpd

/usr/bin/passwd

/usr/bin/top

/usr/bin/du

/usr/bin/chfn

/usr/bin/chsh

/usr/bin/killall

/usr/bin/ss

/usr/sbin/ss

/usr/bin/ssh

/usr/bin/scp

sbin

/sbin/syslog-ng

/sbin/rsyslogd

/sbin/ifconfig

/sbin/lsmod

/sbin/pidof

Utilizamos cookies para mejorar nuestro sitio y tu experiencia. Al continuar navegando en nuestro sitio, tú aceptas nuestra política de cookies. Descubre más

Comentarios

Comentarios

Comentarios

0/500

Seleccionar contenido

Enviar el contenido seleccionado con los comentarios