被勒索软件攻击的过程 在攻击云基础设施时，攻击者通常会攻击多个资源以试图获取对客户数据或公司机密的访问权限。在勒索攻击链中，攻击者通过事前侦查探测、事中攻击入侵及横向扩散、事后勒索三个步骤实现对企业的资源勒索： 事前侦查探测阶段：收集基础信息、寻找攻击入口，进入环境并建立内部立足点。

查看更多 →

主机被挖矿攻击，怎么办？ 黑客入侵主机后植入挖矿程序，挖矿程序会占用CPU进行超高运算，导致CPU严重损耗，并且影响主机上其他应用的运行。当您的主机被挖矿程序入侵，挖矿程序可能进行内网渗透，并在被入侵的主机上持久化驻留，从而获取最大收益。 当主机提示有挖矿行为时，请确定并清除挖矿程序，并及时对主机进行安全加固。

查看更多 →

图1 排查思路 账户被暴力破解，攻击源IP已成功登录 如果您收到账户暴力破解成功的告警信息，例如“【账户被爆破告警】主机安全服务当前检测到您XX区域的 云服务器 XX的账户被破解，已成功登录：攻击源IP：10.108.1.1，攻击类型：ssh”，则说明您的主机被暴力破解成功，建议您尽快加固您的主机安全。

查看更多 →

主机被挖矿攻击，怎么办？ 收到告警事件通知说明您的云 服务器 被攻击过，不代表已经被破解入侵。 您可在收到告警后，及时对告警进行分析、排查，采取相应的防护措施即可。 黑客入侵主机后植入挖矿程序，挖矿程序会占用CPU进行超高运算，导致CPU严重损耗，并且影响主机上其他应用的运行。当您的

查看更多 →

图1 排查思路 帐户被暴力破解，攻击源IP已成功登录 若您收到帐户暴力破解成功的告警信息，例如“【帐户被爆破告警】企业主机安全服务当前检测到您XX区域的云服务器XX的帐户被破解，已成功登录：攻击源IP：10.108.1.1，攻击类型：ssh”，则说明您的主机被暴力破解成功，建议您尽快加固您的主机安全。

查看更多 →

攻击者尝试保持住它们入侵的进攻点。 权限提升 攻击者尝试获取更高等级的权限。 防御绕过 攻击者尝试避免被检测到。 凭据访问 攻击者尝试盗取账号名称和密码。 命令与控制 攻击者尝试与被攻击的机器通信并对其进行控制。 影响破坏 攻击者尝试操控，中断或者破坏您的系统或者数据。 单击事件类型的告警名称，可查看告警的详细信息。告警信息说明如表

查看更多 →

检测周期 静态网页防篡改 防止网站服务器中的静态网页文件被篡改。 × × × × √ × Linux、Windows 实时检测 动态网页防篡改 为Tomcat提供动态网页防篡改能力，防止网站数据库中动态网页内容被篡改。 × × × × √ × Linux 实时检测 勒索病毒防护 勒索

查看更多 →

分析作业是否被阻塞 数据库系统运行时，在某些业务场景下查询语句会被阻塞，导致语句运行时间过长，可以强制结束有问题的会话。 操作步骤 查看阻塞的查询语句及阻塞查询的表、模式信息。 1 2 3 4 5 6 7 8 9 10 11 SELECT w.query as waiting_query

查看更多 →

分析作业是否被阻塞 数据库系统运行时，在某些业务场景下查询语句会被阻塞，导致语句运行时间过长，可以强制结束有问题的会话。 操作步骤 使用DAS或者gsql连接实例。 查看阻塞的查询语句及阻塞查询的表、模式信息。 SELECT w.query as waiting_query, w

查看更多 →

分析作业是否被阻塞 数据库系统运行时，在某些业务场景下查询语句会被阻塞，导致语句运行时间过长，可以强制结束有问题的会话。 操作步骤 参考连接数据库，连接数据库。 查看阻塞的查询语句及阻塞查询的语句及其查询状态、会话ID（如下SQL在线程池开启的模式下适用）。 SELECT w.query

查看更多 →

分析作业是否被阻塞 数据库系统运行时，在某些业务场景下查询语句会被阻塞，导致语句运行时间过长，可以强制结束有问题的会话。 操作步骤 参考连接数据库，连接数据库。 查看阻塞的查询语句及阻塞查询的表、模式信息。 1 2 3 4 5 6 7 8 9 10 11 SELECT

查看更多 →

账户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据账户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux，Windows

查看更多 →

登录Linux服务器 Linux服务器登录方式概述 远程登录方式 SSH密钥方式登录 SSH密码方式登录 父主题： 实例

查看更多 →

Windows网页防篡改 防止网站Windows服务器中的静态网页文件被篡改。 Linux网页防篡改 防止网站Linux服务器中的静态网页文件被篡改。 动态网页防篡改 防止网站Windows和Linux服务器中的动态网页文件被篡改。 应用防护 为运行时的应用提供安全防御。您无需

查看更多 →

AAD”，进入“Anti-DDoS流量清洗”界面。 单击“拦截报告”页签，选择需要查看的时间段，查看“TOP10被攻击公网IP”中是否存在查询的公网IP。 如果该时间段中“TOP10被攻击公网IP”中存在查询的公网IP，表明该公网IP被攻击。 图3 拦截报告 方法三：查看封堵列表 登录管理控制台。 在页面上方选择“区

查看更多 →

弱口令/密码不归属于某一类漏洞，但其带来的安全隐患却不亚于任何一类漏洞。 数据、程序都储存在系统中，若密码被破解，系统中的数据和程序将毫无安全可言。 主机安全服务会对使用经典弱口令的用户账号告警，主动检测出主机中使用经典弱口令的账号。您也可以将疑似被泄露的口令添加在自定义弱口令列表中，防止主机中的账户使用该弱口令，给主机带来危险。

查看更多 →

收到告警事件通知说明您的云服务器被攻击过，不代表已经被破解入侵。您可在收到告警后，及时对告警进行分析、排查，采取相应的防护措施即可。 频繁被暴力破解的可能原因 由于您服务器的远程连接端口没做访问控制，导致网络上的病毒频繁攻击您服务器端口。 处理办法 您可通过以下方式来改善被频繁暴破攻击的情况，降低风险：

查看更多 →

CDN如果被cc攻击是怎么处理的？ CC攻击是攻击者借助代理服务器生成指向受害主机的合法请求，实现DDoS和伪装攻击。攻击者通过控制某些主机不停地发送大量数据包给对方服务器，造成服务器资源耗尽，直至宕机崩溃。当 域名 受攻击，CDN节点会承受攻击流量，不会造成源站被攻击瘫痪。 CDN

查看更多 →

修复漏洞时服务器内容被清空是否可以恢复？ 可以。 但是通过恢复操作只能将服务器数据恢复至最后一次备份时的状态，未备份的无法恢复。 父主题： 漏洞管理

查看更多 →

√ √ √ √ Linux × × 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。监控的关键文件的路径请参见关键文件变更监控路径。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。

查看更多 →

SSH登录IP白名单。 如果发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手动解除拦截IP。 如果您手动解除被拦截的可信IP，仅可以解除本次HSS对该IP的拦截。如果再次发生多次密码输错，该IP会再次被HSS拦截。 父主题： 账户暴力破解

查看更多 →