收到HSS的告警通知，如何查找到相關信息并處理？

如何查看

主機安全告警查看操作詳情請參見查看主機安全告警，容器安全告警查看操作詳情請參見查看容器安全告警事件。

如何處理

企業主機安全提供漏洞修復方法、入侵事件排查/處理方法、風險配置修復建議，操作詳情請參見處理主機告警事件。

容器安全提供對告警的處理，操作詳情請參見處理容器告警事件。

主機被挖礦攻擊，怎么辦？

黑客入侵主機后植入挖礦程序，挖礦程序會占用CPU進行超高運算，導致CPU嚴重損耗，并且影響主機上其他應用的運行。當您的主機被挖礦程序入侵，挖礦程序可能進行內網滲透，并在被入侵的主機上持久化駐留，從而獲取最大收益。

當主機提示有挖礦行為時，請確定并清除挖礦程序，并及時對主機進行安全加固。

排查操作步驟:

1、登錄管理控制臺。

2、在頁面左上角單擊，選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

                    
說明
                    
切換至新版后，在總覽頁左上角單擊“返回舊版”，可切換至主機安全（舊版）。

                    
                  
                  

4、排查進程異常行為，若出現主機挖礦行為，會觸發HSS發送“進程異常行為”告警。

5、選擇“入侵檢測 > 安全告警事件 > 主機安全告警”，選擇“系統異常行為 > 進程異常行為”，查看并處理發生的異常進程行為告警。您可以單擊“處理”，對挖礦程序進行隔離查殺。

6、排查其他自啟動項，有的挖礦進程為了實現長期駐留，會向系統中添加自啟動項來確保系統重啟后仍然能重新啟動，因此，需要及時清除可疑的自啟動項。

7、選擇“資產管理 > 資產指紋”，單擊“自啟動項”，選擇“歷史變動記錄”，查看歷史變動情況。

如何對主機安全加固？

挖礦程序清除后，為了保障主機安全，請及時對主機進行安全加固。

Linux加固建議

使用HSS每日凌晨自動進行一次全面的檢測，幫助您深度防御主機和應用方面潛在的安全風險。

修改系統所有帳號口令（包括系統帳戶和應用帳戶）為符合規范的強口令，或將主機登錄方式改為密鑰登錄徹底規避風險。

• 設置安全口令，詳細操作請參見如何設置安全的口令？
• 使用密鑰登錄主機。

嚴格控制系統管理員帳戶的使用范圍，為應用和中間件配置各自的權限和并嚴格控制使用范圍。

使用安全組定義訪問規則，根據業務需求對外開放端口，對于特殊業務端口，建議設置固定的來源IP（如：遠程登錄）或使用VPN、堡壘機建立自己的運維通道。

Windows加固建議

使用HSS全面體檢并深度防御主機和應用方面潛在的安全風險，同時您還可以對您的Windows系統進行帳戶安全加固、口令安全加固和授權安全加固。

帳戶安全加固

口令安全加固

授權安全加固

添加告警白名單后，為什么進程還是被隔離？

告警白名單僅用于忽略告警，把當前告警事件加入告警白名單后，當再次發生相同的告警時不再進行告警。

隔離查殺惡意程序

方式一：在“安裝與配置 > 安全配置 > 惡意程序隔離查殺”中，開啟自動隔離查殺。

方式二：在“入侵檢測 > 安全告警事件 > 主機安全告警 > 事件列表”中，將惡意程序手動隔離查殺。

隔離查殺后，該程序無法執行“讀/寫”操作，同時該程序的進程將被立即終止。HSS將程序或者進程的源文件加入文件隔離箱，被隔離的文件不會對主機造成威脅。

恢復隔離查殺文件

在“入侵檢測 > 安全告警事件 > 已隔離文件”中，選擇“主機安全告警”，單擊“已隔離文件”的“查看詳情”，單擊目標服務器的“恢復”，恢復隔離文件。

被隔離查殺的程序恢復隔離后，文件的“讀/寫”權限將會恢復，但被終止的進程不會再自動啟動起來。

提示主機有挖礦行為怎么辦？

當主機提示有挖礦行為時：

• 建議備份數據，關閉不必要的端口。
• 增強主機密碼。
• 使用主機安全服務（HSS），HSS提供帳戶破解防護、異地登錄檢測惡意程序檢測、網站后門檢測等入侵檢測功能，以及軟件漏洞、一鍵查殺惡意程序或修復系統漏洞等功能。

主機對外攻擊預警，怎么處理？

主機可能中了木馬病毒，建議您重裝系統，并設置強口令加固服務器及phpstudy、Redis等應用。

• 設置系統所有帳號為符合規范的強密碼，不要使用默認密碼，或存在鍵盤特征的密碼。
• 根據業務配置安全組策略，非公開的業務端口建議設置固定的來源IP，避免不必要的端口暴露在公網。
• 及時升級系統及應用的最新補丁。
• 定期備份數據
• 刪除或重命名phpmyadmin文件夾。

服務器遭受攻擊為什么沒有檢測出來？

• 若您的主機在開啟HSS之前已被入侵，HSS可能無法檢測出來。
• 若您購買了主機安全配額但是沒有開啟防護，HSS無法檢測出來。
• HSS主要是防護主機層面的攻擊，若攻擊為web層面攻擊，無法檢測出來。建議咨詢安全SA提供安全解決方案，或者推薦使用安全的其他產品（WAF，DDOS等）。

源IP被HSS攔截后，如何解除？

源IP被帳戶暴力破解、源IP隸屬于全網IP黑名單，以及開啟IP白名單后，源IP不在IP白名單中時，均會被攔截，請根據具體場景解除攔截。

帳戶暴力破解

• 若發現暴力破解主機的行為，HSS會對發起攻擊的源IP進行攔截，SSH類型攻擊默認攔截12小時，其他類型攻擊默認攔截24小時。若被攔截的IP 在默認攔截時間內沒有再繼續攻擊，系統自動解除攔截 。
• 若您確認源IP是可信的IP（比如運維人員因為記錯密碼，多次輸錯密碼導致被封禁），可單擊“入侵檢測安全告警事件”頁面下“已攔截IP”的“查看詳情”，在彈出的頁面，可手動解除被攔截的可信IP。

若您手動解除被攔截的可信IP，僅可以解除本次HSS對該IP的攔截。若再次發生多次口令輸錯，該IP會再次被HSS攔截。

全網IP黑名單不能手動解除攔截。

開啟SSH登錄IP白名單。若在HSS中配置SSH登錄白名單，只允許白名單內的IP登錄到主機。若需要登錄主機，請添加到“SSH登錄IP白名單”中。

沒有手動解除的IP攔截記錄為什么會顯示已解除？

如果被攔截的IP在24小時內沒有再繼續暴力破解就會自動解除IP。

HSS的惡意程序檢測周期、隔離查殺是多久一次？

檢測周期：實時檢測。

隔離查殺周期：

• 已開啟自動隔離查殺：系統實時查殺（出現告警，立刻自動查殺）。
• 未開啟自動隔離查殺：需人工查殺，逐一處理。

                    
說明
                    
HSS的隔離查殺支持對“惡意程序（云查殺）”和“進程異常行為”實時檢測的告警進行查殺，檢測能力詳情請參見服務版本差異。
HSS隔離查殺分為自動隔離查殺和人工隔離查殺。
                    
                  
                  

• 開啟自動隔離查殺：詳情請參見安全配置中的“開啟惡意程序隔離查殺”章節。
• 人工隔離查殺：操作詳情請參見管理文件隔離箱中的“選擇隔離查殺”章節。

HSS的病毒庫、漏洞庫多久更新一次？

更新周期：即時發現，即時更新。

漏洞庫：當Windows或Linux官網有補丁發布時，企業主機安全服務產品的相關負責人會在第一時間同步更新企業主機安全服務的漏洞庫。

病毒庫：當后臺發現新型病毒后，企業主機安全服務產品的相關負責人會在第一時間同步更新企業主機安全服務的病毒庫。

HSS攔截的IP是否需要處理？

在收到有攔截IP的告警時，需要您對攔截的IP進行判斷，被攔截IP是否為正常業務所使用。

• 如果是您正在使用的業務所屬IP，您需將攔截IP添加至白名單。
• 如果是非正常業務所使用，則無需處理。