是否上班时间登录

告警规则为非上班时间登录系统,主要的目的是防止有人在非上班时间对系统进行操作。

 

登录IP是否合法

告警规则为非上班地点登录系统,主要的目的是防止有人在非上班地点登录系统。

 

是否有密码猜测行为

密码猜测攻击是一种非常常见的攻击手段,其特征是一段时间内容有连续的错误登录日志,则可以确定为密码猜测攻击。

 

是否有账号猜测行为

账号猜测攻击是一种非常常见的攻击手段,一般被攻击者首先要确定主机的账号后才 能对其发起一步的攻击。所以一般攻击者首先会猜测 root 的账号,所以修改 root 账号 名称或者禁止 root 账号远程登陆是非常有效的安全手段。其特征是一段时间内容有连续的账号不存在登录日志,则可以确定为账号猜测攻击。

 

是否对敏感文件进行了操作

敏感文件操作一般是比较危险的操作,如果攻击者经攻击成功,进入了系统,在这种情况下一般要做的事情是清理现场,删除日志增加一些配置等行为,所以针对敏感文件的操作就非常重要了

 

是否执行了危险命令

高危命令操作一般是比较危险的操作,如果攻击者经攻击成功,执行了一些比较危险的命令,对系统的危害是巨大的。

 

是否访问了非法的端口

比如服务器,正常情况下可能只开放了 80和22 端口,而且一般服务器是被动接收的日志,当发现日志中有主动发起的连接而且不是规定的端口,很有可能是中了木马,这个时候要特别关注

 

发现SQL注入风险

SQL 注入攻击是黑客对数据库进行攻击的常用手段之一,相当大一部分程序员在编写代码的时候没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结 果,获得某些他想得知的数据,这就是所谓的 SQLInjection,即 SQL 注入。

 

发现XSS攻击风险

跨站脚本攻击(CrossSiteScripting),是一种经常出现在 web 应用 中的计算机安全漏洞,它允许恶意 web 用户将代码植入到提供给其它用户使用的页面中。

 

发现非法路径访问

目录遍历是针对 WindowsIIS 和 Apache 的一种常见攻击方法,它可能让攻击者访问受限制的目录,通过执行 cmd.exe/c 命令来提取目录信息,或者在 Web 服务器的根目录以外执行命令。

 

发现敏感文件访问

敏感文件主要关注 web 服务的配置文件,源代码文件等。

 

发现WebShell攻击风险

WebShell 就是以 asp、php、jsp 或者 cgi 等网页文件形式存在的一种命令执行环境,也 可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将这些 asp 或 php 后门 文件与网站服务器 WEB 目录下正常的网页文件混在一起,然后就可以使用浏览器来访问 这些 asp 或者 php 后门,得到一个命令执行环境,以达到控制网站服务器的目的。

 

发现CC攻击风险

CC 攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器 资源耗尽,一直到宕机崩溃。

 

统计登录日志数据

统计日志中关于用户登录的部分,生成图表。

 

统计FTP日志数据

统计日志中关于FTP相关的部分,生成图表。

 

统计Web日志数据

统计Web访问相关日志,生成图表。

 

自定义统计规则

根据用户自定义的统计规则生成图表。