更新时间:2022-12-02 GMT+08:00
分享

VPC告警类型详情

DDoSTcpDns

在租户侧网络场景下,检测到某些ECS可能正在基于DNS协议进行Dos攻击,端口为53。

默认严重等级:高危。

数据源:VPC流日志。

此调查结果通知您,检测到某些ECS可能正在基于DNS协议进行Dos攻击,端口为53。

修复建议:如果此事件为异常行为,则您的ECS有可能遭到攻击,请查看端口为53的进程是否出现异常,并清除任何发现的恶意软件,如有必要,建议您终止当前ECS,根据需要使用新ECS来做代替。

DDoSTcp

在租户侧网络场景下,检测到某些ECS可能正被用于TCP协议进行DoS攻击,使入口 | 出口流量会瞬间暴增。

默认严重等级:高危。

数据源:VPC流日志。

此调查结果通知您,检测到某些ECS可能正被用于TCP协议进行DoS攻击,使入口 | 出口流量会瞬间暴增。

修复建议:如果此事件为异常行为,则您的ECS有可能遭到攻击,请查看是否存在可疑进程,并清除任何发现的恶意软件,如有必要,建议您终止当前ECS,根据需要使用新ECS来做代替。

DDoSUdp

在租户侧网络场景下,检测到某些ECS可能正被用于UDP协议进行DoS攻击,使入口| 出口流量会瞬间暴增。

默认严重等级:高危。

数据源:VPC流日志。

此调查结果通知您,检测到某些ECS可能正被用于UDP协议进行DoS攻击,使入口| 出口流量会瞬间暴增。

修复建议:如果此事件为异常行为,则您的ECS有可能遭到攻击,请查看是否存在可疑进程,并清除任何发现的恶意软件,如有必要,建议您终止当前ECS,根据需要使用新ECS来做代替。

DDoSTcp2Udp

在租户侧网络场景下,检测到某些ECS可能正在TCP端口上使用UDP协议进行DoS攻击。 例如,端口80常用于tcp通信,但某个时间点发现80端口被用于udp通信,并使入口| 出口流量会瞬间暴增。

默认严重等级:高危。

数据源:VPC流日志。

此调查结果通知您,检测到某些ECS可能正在TCP端口上使用UDP协议进行DoS攻击。 例如,端口80常用于tcp通信,但某个时间点发现80端口被用于udp通信,并使入口| 出口流量会瞬间暴增。

修复建议:如果此事件为异常行为,则您的ECS有可能遭到攻击,请查看是否存在可疑进程,并清除任何发现的恶意软件,如有必要,建议您终止当前ECS,根据需要使用新ECS来做代替。

DDoSUnusualProtocol

在租户侧网络场景下,检测到某些ECS可能正在使用异常协议进行DoS攻击。例如除了常见协议TCP、UDP、ICMP、IPv4、IPv6、STP等等以外的协议,出现在流量中,需要引起高度重视。

默认严重等级:高危。

数据源:VPC流日志。

此调查结果通知您,检测到某些ECS可能正在使用异常协议进行DoS攻击。例如除了常见协议TCP、UDP、ICMP、IPv4、IPv6、STP等等以外的协议,出现在流量中,需要引起高度重视。

修复建议:如果此事件为异常行为,则您的ECS有可能遭到攻击,请查看是否存在可疑进程,并清除任何发现的恶意软件,如有必要,建议您终止当前ECS,根据需要使用新ECS来做代替。

JunkMail

在租户侧网络场景下,检测到某些ECS正在基于端口25,跟远程主机通讯并发送垃圾邮件。

默认严重等级:中危。

数据源:VPC流日志。

此调查结果通知您,检测到某些ECS正在基于端口25,跟远程主机通讯并发送垃圾邮件。

修复建议:如果此事件为异常行为,则您的ECS有可能遭到攻击,请查看端口25是否被开启,如有必要请在安全组关闭端口25,并清除任何发现的恶意软件。

UnusualNetworkPort

在租户侧网络场景下,检测到某些ECS可能正在使用异常端口与远程主机通信,可能从事非法活动。异常端口可能来自于任何自定义开放端口。

默认严重等级:中危。

数据源:VPC流日志。

此调查结果通知您,检测到某些ECS可能正在使用异常端口与远程主机通信,可能从事非法活动。异常端口可能来自于任何自定义开放端口。

修复建议:如果此事件为异常行为,则您的ECS有可能遭到攻击,请查看是否存在可疑进程,并清除任何发现的恶意软件,如有必要,建议您终止当前ECS,根据需要使用新ECS来做代替。

UnusualTrafficFlow

在租户侧网络场景下,检测到某些ECS生成大量的网络出口流量,此网络出口流量偏离了正常基线值,并全部流向到远程主机。

默认严重等级:中危。

数据源:VPC流日志。

此调查结果通知您,检测到某些ECS生成大量的网络出口流量,此网络出口流量偏离了正常基线值,并全部流向到远程主机。

修复建议:如果此事件为异常行为,则您的ECS有可能遭到攻击,请查看是否存在可疑进程,并清除任何发现的恶意软件,如有必要,建议您终止当前ECS,根据需要使用新ECS来做代替。

Cryptomining

在租户侧网络场景下,检测到某些ECS可能正在访问与挖矿活动相关联的IP,可能从事非法活动。

默认严重等级:高危。

数据源:VPC流日志。

此调查结果通知您,检测到某些ECS可能正在访问与挖矿活动相关联的IP,可能从事非法活动。

修复建议:如果此事件为异常行为,则您的ECS有可能遭到攻击,请查看是否存在可疑进程,并清除任何发现的恶意软件,如有必要,建议您终止当前ECS,根据需要使用新ECS来做代替。

CommandControlActivity

VPC检测到ECS存在当前IP被用于向高危网络发送消息。

默认严重等级:高危。

数据源:VPC流日志。

此调查结果通知您,MTD 发现当前IP正在访问已知命令和控制相关联的IP,从事非法活动。

修复建议:如果此事件为异常行为,则您的ECS有可能遭到攻击,请查看是否存在可疑进程,并清除任何发现的恶意软件,如有必要,建议您终止当前ECS,根据需要使用新ECS来做代替。

PortDetection

VPC侦测到ECS存在端口探测数量异常。

默认严重等级:高危。

数据源:VPC流日志。

此调查结果通知您,检测到某些ECS正在探测大量IP上的活跃端口,属于慢攻击探测远程端口。

修复建议:如果此事件为异常行为,则您的ECS有可能遭到攻击,请查看是否存在可疑进程,并清除任何发现的恶意软件,如有必要,建议您终止当前ECS,根据需要使用新ECS来做代替。

PortScan

VPC侦测到ECS存在端口扫描访问数量异常。

默认严重等级:中危。

数据源:VPC流日志。

此调查结果通知您,检测到某些ECS正在扫描远程资源的出站端口,可能从事非法活动。

修复建议:如果此事件为异常行为,则您的ECS有可能遭到攻击,请查看是否存在可疑进程,并清除任何发现的恶意软件,如有必要,建议您终止当前ECS,根据需要使用新ECS来做代替。

相关文档