客户主机上并未设置大量的并发任务,CPU使用率很高,在进程管理中发现陌生进程占用大量系统资源,或通过抓包分析流量可以确定主机与不明地址存在连接,并有非客户业务的job下发等异常现象。
如下图所示,CPU使用率突增,且存在两个异常进程:.gpg 和pnscan ,其中“.gpg ”CPU占用率高达94%:
1、安全组、ACL
Ø 通过抓包分析网络数据包或通过netstat查看网络连接状态,可发现有大量对外连接,得到远程异常地址
Ø 配置安全组策略,关闭默认远程端口,关闭ANY策略;
Ø 开启网络ACL功能将远程异常地址加入拒绝ACL规则,
ACL使用参考:https://support.huaweicloud.com/productdesc-vpc/zh-cn_topic_0051746676.html
2、安全服务:
Ø 通过安装安全杀毒软件对服务器进行全盘扫描并清理(客户自行使用第三方安全服务处理);
Ø 购买HSS服务企业版并设置常用登陆地、开启恶意程序隔离查杀、双因子认证等防护功能
具体参考:
Ø 如客户侧无专业的安全团队和手段,建议提工单申请安全人员排查服务器并清理优化:https://console.huaweicloud.com/ticket/?locale=zh-cn#/ticketindex/serviceTickets;
Ø 购买VSS企业版漏洞扫描服务,支持深度网站漏洞检测、主机漏洞检测(仅支持中国区域)、高危紧急漏洞应急检测,并给出详细检测报告及优化建议,服务版本介绍:https://support.huaweicloud.com/productdesc-vss/vss_01_0132.html
使用配置指导:https://support.huaweicloud.com/qs-vss/index.html
3、其它建议:
Ø 修改业务主机密码到12位以上,含大小写及特殊字符;
Ø 定期维护系统版本,不使用较低版本的OS。
场景三:游戏盗号 现象描述攻击者、恶意玩家利用业务系统漏洞,通过自动化工具进行扫库、拖库,盗取游戏账户进行售卖或恶意篡改游戏数据,严重影响玩家游戏体验。
解决措施1、针对已经流出的玩家账号数据:
紧急开发并上线双因子认证功能(如无):建议客户梳理游戏内关键操作,如充值、交易、摧毁锁定道具等敏感操作,每当玩家执行敏感操作时,必须再次使用密码、动态安全令牌、手机验证码等方式验证,通过后方可执行操作。
2、针对未流出的数据:
Ø 变更账号业务数据库密码;
Ø 审视业务数据库安全组、ACL是否设置严密做到按需开放;
Ø 购买并配置数据库安全防护企业版:基于反向代理及机器学习机制,提供数据脱敏、数据库审计、敏感数据发现、数据库防拖库和防注入攻击等功能,保障云上数据库安全。详细指导见链接: https://support.huaweicloud.com/qs-dbss/index.html
Ø 购买并配置数据库安全审计功能专业版:通过实时记录用户访问数据库行为,形成细粒度的审计报告,对风险行为和攻击行为进行实时告警。同时对数据库的内部违规和不正当操作进行定位追责,保障数据资产安全。详细指导见链接:https://support.huaweicloud.com/qs-dbss/dbss_07_0002.html
场景四:游戏外挂 现象描述