用户指南 7 入侵检测
告警名 机作为挖矿、DDoS肉鸡使用,这类程序会 大量占用主机的CPU资源或者网络资源,
破坏用户业务的稳定性。
告警名
login、top等)进行监控,一旦文件被 修改就进行告警,提醒用户关键文件存
对于关键文件变更,HSS只检测目录或文 件是否被修改,不关注是人为或者某个进 程修改的。
× √ √ √
网站后
门 以php、jsp等网页文件形式存在的一种命 令执行环境。
黑客在入侵了一个网站后,通常会将后门 文件与网站服务器WEB目录下正常的网页 文件混在一起,然后使用浏览器来访问 php或者jsp后门,得到一个命令执行环 境,以达到控制网站服务器的目的。
检测云服务器上Web目录中的文件,判断 是否为WebShell木马文件,支持检测常见 的PHP、JSP等后门文件类型。
● 网站后门检测信息包括“木马文件路 的非法Shell连接操作产生的反弹Shell行 为。
支持对TCP、UDP、ICMP等协议的检测。
您可以在“策略管理”的“反弹/异常Shell 检测”中配置反弹Shell检测,HSS会实时 检测执行的可疑指令,主机被远程控制执 行任意命令等。
× × √ √
用户指南 7 入侵检测
告警名 异常Shell 检测系统中异常Shell的获取行为,包括对
Shell文件的修改、删除、移动、拷贝、硬 链接、访问权限变化。
您可以在“策略管理”的“反弹/异常Shell 检测”中配置异常Shell检测,HSS会实时 检测执行的可疑指令,主机被远程控制执
HSS实时检测当前系统中执行的高危命 令,当发生高危命令执行时,及时触发告
HSS检测并列举当前系统中的自启动服 务、定时任务、预加载动态库、Run注册 表键和开机启动文件夹,帮助用户及时发
HSS检查系统中存在的可疑隐藏账号、克 隆账号;若存在可疑账号、克隆账号等, 进行root提权或者文件提权,从而达到非 法创建和修改系统账号的权限或者篡改文 件的目的。
HSS检测当前系统的“进程提权”和“文 件提权”操作。
检测以下异常提权操作:
● 利用SUID程序漏洞进行root提权。
● 利用内核漏洞进行root提权。
● 对文件的提权。
× × √ √
Rootkit 程序
HSS检测Rootkit安装的文件和目录,帮助 用户及时发现可疑的Rootkit安装。
● 使用文件特征码检测Rootkit。
● 对隐藏文件、端口、进程的检测。
× × √ √
关键文件变更监控路径
类型 Linux bin /bin/ls
/bin/ps /bin/bash /bin/netstat /bin/login /bin/find /bin/lsmod /bin/pidof /bin/lsof /bin/ss usr /usr/bin/ls
/usr/bin/ps /usr/sbin/ps /usr/bin/bash /usr/bin/netstat /usr/sbin/netstat /usr/sbin/rsyslogd /usr/sbin/ifconfig /usr/bin/login /usr/bin/find /usr/sbin/lsmod /usr/sbin/pidof /usr/bin/lsof /usr/sbin/lsof /usr/sbin/tcpd /usr/bin/passwd /usr/bin/top /usr/bin/du /usr/bin/chfn /usr/bin/chsh /usr/bin/killall /usr/bin/ss /usr/sbin/ss /usr/bin/ssh /usr/bin/scp
用户指南 7 入侵检测
类型 Linux
sbin /sbin/syslog-ng /sbin/rsyslogd /sbin/ifconfig /sbin/lsmod /sbin/pidof