出現弱口令告警如何處理？

若收到弱口令告警說明當前云主機口令過于簡單，與弱口令檢測的密碼庫匹配，存在被入侵的風險，需及時修改弱口令。

查看弱口令檢測結果：進入“風險管理 > 弱口令檢測”頁面，可查看檢測出的弱口令。

修改弱口令：根據檢測列表中的服務器信息，弱口令信息，登錄出現弱口令的主機，修改弱口令。

常見弱口令修改方式：

• Linux系統
  登錄Linux系統命令行，執行命令：passwd 根據提示修改用戶口令。

• Windows系統
  登錄Windows系統，左下角搜索欄搜索打開“設置”窗口，點擊“賬戶”，在左側導航欄中，點擊“登錄選項”，并根據提示修改口令。

• MySQL數據庫
  登錄MySQL數據庫，執行命令：SET PASSWORD FOR '用戶名'@'主機'=PASSWORD('新密碼'); 修改弱口令后，再執行命令：flush privileges;刷新用戶信息，使口令修改生效。

• Redis數據庫
  打開Redis數據庫配置文件redis.conf，找到“requirepass”配置行，修改弱口令（password 為登錄口令）。

支持哪些系統或應用的弱口令檢測？

• 操作系統：Linux、Windows。

• 數據庫：MySQL、Redis、PostgreSQL、Mongo。

如何設置強口令？

可按以下規則設置口令：

• 密碼長度不少于8位

• 包含大小寫字母、數字及特殊字符

• 密碼不包含用戶名

• 密碼中不含連續的字母或數字

• 不同的機器或應用使用不同的密碼

• 定期修改密碼，至少每三個月更新一次

弱口令檢測是針對操作系統還是服務器承載的應用系統？

服務器安全衛士（原生版）弱口令檢測支持操作系統弱口令、應用弱口令檢測，并支持一鍵檢測和定時檢測。

服務器顯示登錄異常怎么解決？

查看服務器安全衛士（原生版）異常登錄日志，根據日志中的登錄源IP、登錄地區、登錄賬號、登錄時間進行檢查，若非管理員登錄，密碼可能已經泄露，您需要對服務器進行詳細的安全檢查。

正常登錄行為被誤報為異常登錄，要如何消除誤報？

您可以通過以下方式消除誤報：

1. 登錄服務器安全衛士（原生版）控制臺。

2. 在左側導航欄，選擇“入侵檢測 > 異常登錄”。

3. 在異常登錄頁面，找到被定義為異常登錄的記錄，在右側操作欄中，單擊“標記已處理”，即可消除本條告警記錄。

4. 同時，您可以點擊“白名單管理 > 新增白名單”，將您常用的登錄源IP、登錄地區、登錄賬號、登錄時間加入白名單。
   加入白名單后下次不會再進行異常登錄告警。

如何查看異地登錄的源IP？

您可以登錄服務器安全衛士（原生版）控制臺，在左側導航中選擇“入侵檢測 > 異常登錄”，在異常登錄告警列表中查看異地登錄的源IP地址。

是否可以關閉異地登錄檢測？

不可以，異地登錄是入侵者常見的攻擊特效，可以有效發現入侵，如果您不想接收異地登錄的告警，可以將登錄地點添加到白名單中進行信任。

如何減少服務器被爆破登錄的風險？

在給服務器設置密碼的時候要避免弱口令，在公網上布置的機器要特別注意，如果暴力破解的事件很多，需要引起用戶重視，關注攻擊的源和IP地址。

什么是反彈Shell？

反彈Shell是一種網絡安全攻擊技術，也被稱為“反向連接”。它的原理是通過在受害者的計算機上執行一個惡意程序（通常是一個后門程序），并使其與攻擊者的計算機建立一個反向連接。這樣，攻擊者就可以獲取對受害者計算機的控制權，并執行各種命令、操作和訪問敏感信息。

正常的腳本執行行為被誤報為反彈Shell，要如何消除誤報？

您可以通過以下方式消除誤報：

1. 登錄服務器安全衛士（原生版）控制臺。

2. 在左側導航中選擇“入侵檢測 > 反彈Shell”。

3. 在反彈Shell頁面，找到被定義為反彈Shell的記錄，您可以根據服務器的IP、端口、進程等進行查詢。

4. 在右側操作欄中，單擊“加入白名單”，即可將此反彈Shell告警加入白名單，后續相同來源IP的相同操作將不會產生告警。

   

   如果您誤加入了白名單，您可以單擊“白名單管理”，將誤加入白名單的記錄移除白名單，后續相同來源IP的相同操作將會產生告警。

反彈Shell是怎么進行檢測？

購買企業版或旗艦版配額后，即可開啟反彈Shell檢測。

反彈Shell的檢測方式是Agent定時采集在服務器執行的Shell命令，對Shell命令進行正則匹配，如果Shell命令匹配上了反Shell的正則表達式，則會判斷出服務器正則受到反彈Shell攻擊。

支持哪些反彈Shell命令檢測？

服務器安全衛士（原生版）僅支持對Linux服務器的反彈Shell檢測。

如下是當前支持的反彈Shell命令：

如何處理反彈Shell告警？

您可以通過以下方式處理反彈Shell告警：

1. 登錄服務器安全衛士（原生版）控制臺。

2. 在左側導航中選擇“入侵檢測 > 反彈Shell”。

3. 在反彈shell頁面，找到被定義為反彈shell的記錄，您可以根據服務器的IP、端口、進程等進行查詢。

4. 處理反彈Shell告警。

   • 加入白名單：在右側操作欄中，單擊“加入白名單”，即可將此反彈Shell告警加入白名單，后續相同來源IP的相同操作將不會產生告警。

   • 標記為已處理：單擊“標記已處理”，即可將本條告警記錄標記為已處理，后續相同來源IP的相同操作將仍然會產生告警。

云主機遭受攻擊為什么沒有檢測出來？

• 若云主機在安裝服務器安全衛士Agent之前就已被攻擊，服務器安全衛士可能無法檢測出來。

• 若云主機安裝Agent之后，未開啟防護，服務器安全衛士可能無法檢測出來。

• 服務器安全衛士防護的是主機層面的入侵，若攻擊為Web層面，服務器安全衛士無法檢測防護，可以使用WAF等其他安全產品。

檢測到入侵行為時，是否能夠自動對安全事件進行處理？

不能，服務器安全衛士（原生版）檢測到入侵行為后會第一時間告警，處置行為由相關管理員進行，以避免處置行為與正常業務進程相沖突。

使用產品過程中，是否只開啟病毒檢測就可以了？

在開啟病毒檢測功能的同時，安全管理員可使用入侵檢測功能預防異常登錄/暴力破解等非法攻擊行為，防止攻擊者使用非法手段投放病毒，同時可使用基線管理功能，優化云主機安全基線，預防病毒感染。

檢測到病毒文件應如何處理？

服務器安全衛士（原生版）檢測到病毒文件會立即產生告警，需要您根據告警詳細信息對病毒文件作出處置，處置方式包括以下三種：

• 隔離：將病毒文件或惡意程序移動至隔離區域，進行加密處理，禁止正常運行。

• 刪除：永久從系統中刪除病毒文件或惡意程序，以確保不再有可能的威脅。

• 信任：將某個文件或程序標記為安全并被信任，以避免將其隔離或刪除。

病毒查殺檢測模式包含哪幾種？

包含快速檢測、全盤檢測、自定義檢測三種模式。

• 快速檢測：掃描耗時短，對系統關鍵位置文件進行掃描。

• 全盤檢測：對主機所有硬盤文件進行掃描，清理更徹底。

• 自定義檢測：按指定位置有選擇性掃描文件。