各类告警信息处置建议

最近给处理告警信息，整理出了一部分常见的失陷、高危等告警的常规处理意见，危害百度上一搜一大把，就不写出来了，根据告警、百度和GPT各方面整理出来的，以下是一部分。

1、Pioneer家族远控木马活动事件

在受影响的系统上运行杀毒软件，尽快隔离感染的主机，并且在所有主机上升级安全软件和补丁。检查其他系统是否也受到影响。

2、Virut家族远控木马活动事件

使用强密码策略，包括最小密码长度、密码复杂度和密码历史。对所有Web应用程序实施安全性检查，并且修复发现的弱密码问题

3、MS17-010永恒之蓝漏洞探测

立即更新所有系统的安全补丁，并检查所有系统是否已成功安装

4、OS-WINDOWS Microsoft Windows SMB永恒之蓝探测

立即更新所有系统的安全补丁，并检查所有系统是否已成功安装

5、矿池地址

在防火墙上封锁矿池的地址，以防止未经授权的访问

6、CARROTBAT家族远控木马活动事件

在受影响的系统上运行杀毒软件，尽快隔离感染的主机，并且在所有主机上升级安全软件和补丁。检查其他系统是否也受到影响

7、Web服务暴力破解(失败次数)

禁用或防止对外网暴力破解登录服务，限制用户尝试登录的次数，并且实施密码策略。尽可能使用双因素身份验证来加强认证安全

8、WEB弱口令

使用强密码策略，包括最小密码长度、密码复杂度和密码历史。对所有Web应用程序实施安全性检查，并且修复发现的弱密码问题

9、SpicyHotPot家族远控木马活动事件

在受影响的系统上运行杀毒软件，尽快隔离感染的主机，并且在所有主机上升级安全软件和补丁。检查其他系统是否也受到影响

10、HTTP Basic认证用户名密码泄露(Base64)

禁用HTTP Basic认证，并实施安全的身份验证和授权策略，例如OAuth或OpenID Connect

11、Web服务暴力破解(尝试次数)

禁用或防止对外网暴力破解登录服务，限制用户尝试登录的次数，并且实施密码策略。尽可能使用双因素身份验证来加强认证安全

12、内网主机扫描smb服务

使用防火墙或网络安全设备阻止内网主机扫描SMB服务。升级所有系统的安全补丁，以防止可能利用的漏洞

13、Moudoor家族远控木马活动事件

在受影响的系统上运行杀毒软件，尽快隔离感染的主机，并且在受影响的系统上运行最新的杀毒软件，并对所有系统进行杀毒扫描，以确定是否有其他感染

14、主机存活扫描

如果是由内部人员进行的扫描，则需要确认扫描是否得到了授权。如果未经授权进行扫描，则需要对违规行为进行相应的处罚或纪律处分。如果是由外部攻击者进行的扫描，则需要立即采取措施，如封锁攻击者IP地址，限制对目标主机的访问等

15、SQL Server账号暴力破解

需要立即停止暴力破解行为，并对相关账号进行锁定或禁用，同时对系统进行检查，确认是否存在其他未知的账号或漏洞。对于攻击者，可以通过封锁其IP地址、追踪其行踪等方式进行打击

16、僵木蠕通信

需要及时对感染的主机进行隔离和清除，同时对整个网络进行全面检查，确认是否存在其他感染主机。同时需要对网络安全防护进行加强，包括安装防病毒软件、禁止非法访问等

17、MySQL账号暴力破解

需要立即停止暴力破解行为，并对相关账号进行锁定或禁用，同时对系统进行检查，确认是否存在其他未知的账号或漏洞。对于攻击者，可以通过封锁其IP地址、追踪其行踪等方式进行打击。同时需要对数据库的安全性进行加强，如设置更强的密码策略、限制对数据库的访问等

18、Web账号暴力破解(密码不同)

确认账号是否被攻击者登录并进行非法操作。如果发现账号被非法使用，应该立即采取措施，如封锁攻击者的IP地址、清理受影响的系统和数据等

19、OSAMiner家族挖矿软件回连活动事件

需要立即阻止挖矿软件的回连，隔离被感染的主机，并使用杀毒软件进行清除

20、检测到目录启用了自动目录列表功能

需要禁用目录自动列出功能，以防止敏感文件被公开

21、内部服务器发起SSH暴力破解（1分钟超50次）

需要封锁SSH暴力破解的源IP地址，或者采取其他防护措施，如使用SSH密钥认证，限制登录IP地址等

22、SQL注入攻击(攻击SQL语句)

需要修复Web应用程序中的漏洞，如对用户输入的数据进行过滤、加密等，以避免SQL注入攻击

23、AsyncRAT家族远控木马活动事件

需要阻止木马程序的运行，并隔离被感染的主机，使用杀毒软件进行清除

24、远控木马活动事件

需要隔离受感染的主机，使用杀毒软件进行清除，并分析远控木马的运作方式，确定攻击者的意图和目的

25、Infostealer家族密码窃取攻击事件

需要尽快改变被攻击的密码，并使用杀毒软件进行清除，同时应该加强密码策略，采用强密码，并定期更改密码

26、失陷主机对内发起攻击

需要隔离失陷的主机，并进行全面的检查和清除，防止攻击扩散

27、通用代码注入攻击

需要进行全面的检查和修复，包括对Web应用程序的漏洞进行修复、加强网络安全监控等，以避免类似攻击的发生

28、CARROTBAT家族远控木马活动事件

需要隔离受感染的主机，并使用杀毒软件进行清除，同时应该对系统进行全面的检查和修复，以避免类似攻击事件再次发生

29、驱动人生木马事件

需要隔离受感染的主机，并使用杀毒软件进行清除，同时应该对系统进行全面的检查和修复，以避免类似攻击事件再次发生

30、Alien家族远控木马活动事件

需要隔离受感染的主机，并使用杀毒软件进行清除，同时应该对系统进行全面的检查和修复，以避免类似攻击事件再次发生

31、SMB账号暴力破解

需要立即采取防护措施，如限制登录IP地址、使用复杂密码、启用账号锁定等，以防止SMB账号暴力破解攻击

32、零视科技H5S视频平台GetUserInfo信息泄漏漏洞

应尽快修补漏洞并更新补丁，同时加强对敏感信息的保护和访问控制

33、检测到开启JDWP端口

应关闭该端口或限制访问权限，以避免潜在的安全威胁

34、Agent Tesla家族远控木马活动事件

需要隔离受感染的主机，并使用杀毒软件进行清除，同时应该对系统进行全面的检查和修复，以避免类似攻击事件再次发生

35、帆软报表反序列化漏洞

应尽快修补漏洞并更新补丁，同时加强对反序列化操作的安全检查

36、配置风险->数据库服务配置 : Redis 未授权访问

应尽快限制访问权限，加强身份验证和访问控制，避免敏感信息泄漏

37、远程控制->恶意域名 : C&C

应立即隔离受感染的主机，使用杀毒软件进行清除，并进行全面的安全检查和修复

38、网站内部错误-检测到大量500错误状态码

应及时排查错误原因，修复系统故障和漏洞，保障网站正常运行

39、Formbook家族远控木马活动事件

需要隔离受感染的主机，并使用杀毒软件进行清除，同时应该对系统进行全面的检查和修复，以避免类似攻击事件再次发生

40、Rogue家族远控木马活动事件

需要隔离受感染的主机，并使用杀毒软件进行清除，同时应该对系统进行全面的检查和修复，以避免类似攻击事件再次发生

41、dnslog信息外带

应加强对敏感信息的保护和访问控制，限制外部访问权限

42、存在配置风险

应立即加强对系统的安全防护，采取措施限制攻击者的暴力破解行为，同时加强账号密码策略、安全审计等措施

43、遭受爆破成功

应立即加强对系统的安全防护，采取措施限制攻击者的暴力破解行为，同时加强账号密码策略、安全审计等措施

44、Magecart家族远控木马活动事件

需要隔离受感染的主机，并使用杀毒软件进行清除，同时应该对系统进行全面的检查和修复，以避免类似攻击事件再次发生

45、AUMLIB家族蠕虫攻击事件

对系统进行全面的安全扫描，确认是否有蠕虫感染，以及感染的程度和范围。如果发现有感染情况，立即对受感染的系统进行隔离和修复，以避免蠕虫进一步扩散

46、OS-WINDOWS Microsoft Windows DNSAPI远程执行代码尝试

确保你的Windows操作系统处于最新的安全补丁状态。更新操作系统以修复已知漏洞是重要的安全措施、配置防火墙规则，限制对Windows DNSAPI的远程访问。只允许授权的IP地址或网络范围进行访问

47、Tinba家族远控木马活动事件

确认是否存在感染的主机，对受影响的主机进行隔离，防止进一步传播

48、Redis未授权访问

立即检查你的Redis实例，确保它们不受未授权访问的漏洞影响

49、Ramnit家族病毒攻击事件

隔离感染主机，扫描和清除感染，更新和修补系统，强化安全策略，使用更新的杀毒软件对所有受感染的主机进行全面扫描，确保将Ramnit病毒完全清除

50、EgavilanMedia SQLi认证绕过漏洞

漏洞修复，输入验证和过滤，最小特权原则，安全审计和监控，持续漏洞管理，确保应用程序对用户输入进行正确的验证和过滤，以防止恶意输入导致的SQL注入攻击