告警事件说明

敏感行为

暴力破解

暴破成功

严重

短时间内，存在从来源 IP 多次登录失败后，通过密码成功登录的行为，疑似暴力破解后成功登录

单一来源暴破

中危

存在单一外部来源 IP 发起的暴破，短时间内登录失败多次

多来源暴破

中危

存在短时间内被多个不同外部来源 IP 暴破同一个用户名

变形木马

指定运行时链接

高危

存在指定 LD preload 但执行敏感命令的行为

删除行为记录

中危

存在尝试删除行为历史记录的行为

伪装内核进程

高危

存在伪装成内核进程的行为

严重

存在伪装成内核进程对外发起链接的行为

伪装常见二进制

高危

存在伪装成常见二进制的行为

执行隐藏文件

中危

存在执行隐藏文件或者执行隐藏文件夹下二进制的情况，可能存在入侵行为

关闭安全防护

高危

存在关闭安全防护软件的行为

黑客工具

严重

存在使用黑客工具 Pupy 的的行为

无文件执行

严重

存在利用 memfd 的无文件执行，疑似内存马

严重

存在利用共享内存的无文件执行，疑似内存马

外部修改运行时链接配置

高危

存在来自外网修改运行时链接的操作

执行已删除文件

高危

存在执行已删除文件，同时发起对外链接的行为

代码执行

反弹 shell

严重

存在基本的反弹 shell

严重

存在Exec反弹 shell

严重

存在单一 socket 反弹 shell

严重

可能存在创建脚本语言反弹 shell 的行为

严重

存在利用兄弟进程反弹 shell 的行为

严重

存在疑似 PIPE 派生反弹 shell 的行为

shell 绑定端口

严重

存在绑定 shell 可执行文件到特定端口的情况，可能存在入侵行为

疑似 MSF shell

高危

存在疑似 MSF 派生的 shell 进程，可能存在入侵行为

恶意破坏

删除系统目录

高危

存在删除系统根目录或者一级目录的行为

清空引导盘

高危

存在清空引导盘的行为

清理挖矿竞品

高危

尝试大量破坏控矿进程/文件，可能是存在挖矿病毒同业竞争

访问矿池域名

严重

存在访问矿池域名的行为

执行挖矿工具

高危

存在执行挖矿工具的行为

锁定敏感文件

中危

存在锁定敏感文件编辑权限的行为，可能存在挖矿或者破坏行为

横向移动

暴破工具

高危

存在疑似使用暴力破解工具的行为

后门驻留

加载内核模块

高危

存在添加内核模块的行为，疑似 rootkit

非法 Hook Proc 目录

严重

存在 hook proc 的行为，疑似 rootkit

非法 Hook Syscall调用

严重

存在 hook syscall 的行为，疑似 rootkit

隐藏内核模块

严重

存在隐藏内核模块的行为，疑似 rootkit

非法 Hook 中断信号表

严重

存在中断表 Hook 行为，疑似 rootkit

试探入侵

疑似 Nginx RCE

高危

存在由 nginx 派生的敏感指令，可能存在 RCE

疑似 Redis RCE

高危

存在由 redis 派生的敏感指令，可能存在 RCE

疑似 RocketMQ RCE

高危

存在由 rocketmq 派生的敏感指令，可能存在 RCE

疑似 Jenkins RCE

高危

存在由 jenkins 派生的敏感指令，可能存在 RCE

疑似 RocksDB RCE

高危

存在由 rocksdb 派生的敏感指令，可能存在 RCE

疑似 Consul RCE

高危

存在由 consul 派生的敏感指令，可能存在 RCE

疑似 PHP 服务 RCE

高危

存在由 php 派生的敏感指令，可能存在 RCE

外网下载文件

中危

存在从外部下载可疑文件的行为

疑似 Chrome RCE

严重

存在由 chrome 派生的敏感指令，可能存在 RCE

疑似 Ghostscript RCE

高危

存在由 ghostscript 派生的敏感指令，可能存在 RCE

发起 DNS Log 解析

高危

存在 Java 服务对外发起 DNS LOG 的解析行为，疑似漏洞测

中危

存在对外发起 DNS LOG 的解析行为，疑似漏洞测试

疑似 Java RCE

高危

存在由 Java 服务派生的敏感指令，并存在外网链接可能存在 RCE

疑似 CouchDB RCE

高危

存在由 CouchDB 服务派生的敏感指令，可能存在 RCE

黑客工具执行

高危

存在类似冰蝎 Behinder 黑客工具执行的行为

疑似 Mysql RCE

高危

存在对 mysql udf 进行漏洞利用的行为

高危

存在对 mysgl 文件读写功能进行漏洞利用的行为

疑似 Postgresql RCE

高危

存在由 postgresql 服务派生的敏感指令，疑似漏洞利用行为

高危

存在对 postgresql 文件读写功能进行漏洞利用的行为

提权攻击

注入并控制进程

高危

存在利用 ptrace 注入其他进程的行为

进程提权

高危

存在进程尝试修正自身权限（到 root 权限）的行为

修改 sudo 配置

中危

存在尝试修改 sudo 相关配置的行为

容器逃逸

高危

存在于容器上针对 cgroup notify agent 进行修改的行为

高危

存在于容器上针对 libnss so 文件进行修改的行为

高危

存在于容器上 mount dev 的行为，可能为 docker 提权或者非法获取文件

高危

存在于容器上查找 net unix socket 的行为，可能为逃逸前准备

高危

存在于容器上查找自身 mount 点位的行为，可能为逃逸前准备

sudo 漏洞利用

高危

存在对 sudo 的漏洞利用行为，可能为提权攻击

疑似容器逃逸工具

高危

存在疑似使用 cdk 工具进行容器逃逸的行大

信息收集

外网信息收集

中危

存在从外网发起的信息收集行为，疑似入侵测试

信息外渗

盗取敏感数据

高危

存在利用网络连接工具进行外发的行为

隐蔽隧道

建立隧道

高危

存在执行端口转发工具或建立通讯隧道的行为

高危

存在执行 Storway 多级代理工具的行为

静态扫描

静态扫描

挖矿类恶意文件

高危

存在静态扫描发现的异常文件，疑似挖矿

病毒类恶意文件

高危

存在静态扫描发现的异常文件，疑似后门

加壳类恶意文件

中危

存在静态扫描发现的异常文件，存在加壳文件

漏洞类恶意文件

低危

存在静态扫描发现的异常文件，存在漏洞

DDoS 类恶意文件

高危

存在静态扫描发现的异常文件，存在 DDoS 功能

提权类恶意文件

高危

存在静态扫描发现的异常文件，存在爆破/提权等功能

黑客工具类恶意文件

高危

存在静态扫描发现的异常文件，疑似黑客工具

勒索类恶意文件

高危

存在静态扫描发现的异常文件，疑似勒索病毒

木马类恶意文件

高危

存在静态扫描发现的异常文件，疑似木马

间谍软件类恶意文件

中危

存在静态扫描发现的异常文件，疑似间谍工具

Webshell 类恶意文件

中危

存在静态扫描发现的异常文件，疑似 webshell

行为分析

杀伤链

下载并 nohup 驻留

高危

创建网络文件并 nohup 执行驻留

下载并扫描

高危

创建网络文件赋权后有扫描常规端口行为

下载并驻留

高危

创建网络文件赋权后并驻留

下载并监听

高危

创建网络文件赋权后有绑定端口行为

tmp 下文件发起连接

高危

可疑临时文件产生网络连接

生成敏感文件后修改时间

高危

创建敏感文件并尝试修改文件时间属性

外网下载文件并赋权限

高危

从外部下载可疑文件并赋权

外网下载脚本并管道执行

高危

从外部下载可疑文件并在 bash 管道执行

可疑删除 .so 预加载文件后创建

高危

删除 .so 预加载文件后创建

配置 sshd 后重启

高危

sshd 配置文件发生变更后启动sshd

JavaRCE 后外连

高危

Java 远程命令执行后有临时目录连接 c2 行为

JavaRCE 后驻留

高危

Java 远程命令执行后驻留

翻看历史操作并清理痕迹

高危

翻看历史操作记录后清理操作痕迹

多次搜集信息

高危

发生多次信息搜集

查看并修改定时任务

高危

可能发生可疑的 cronjob 驻留行为

威胁扫描

账密盗用

Crontab 敏感行为

中级

Crontab 执行定期新建用户，可能为漏洞利用行为

中级

Crontab 执行定期密码修改，可能为漏洞利用行为

试探入侵

Crontab 敏感行为

中级

Crontab 执行 sshd 配置修改，可能为漏洞利用行为

中级

Crontab 执行定期重启 sshd 任务，可能为漏洞利用行为

异常登录

异常登录

ECS 在非常用地登录

中级

本次登录的账号非定义的合法登录地范畴

ECS 非常用 IP 登录

中级

本次登录的账号非定义的合法 IP 范畴

ECS 非常用时间登录

中级

本次登录的账号非定义的合法时间范畴

ECS 非常用账号登录

中级

本次登录的账号非定义的合法账号范畴