最近給處理告警信息，整理出了一部分常見的失陷、高危等告警的常規(guī)處理意見，危害百度上一搜一大把，就不寫出來了，根據(jù)告警、百度和GPT各方面整理出來的，以下是一部分。

1、Pioneer家族遠控木馬活動事件

在受影響的系統(tǒng)上運行殺毒軟件，盡快隔離感染的主機，并且在所有主機上升級安全軟件和補丁。檢查其他系統(tǒng)是否也受到影響。

2、Virut家族遠控木馬活動事件

使用強密碼策略，包括最小密碼長度、密碼復(fù)雜度和密碼歷史。對所有Web應(yīng)用程序?qū)嵤┌踩詸z查，并且修復(fù)發(fā)現(xiàn)的弱密碼問題

3、MS17-010永恒之藍漏洞探測

立即更新所有系統(tǒng)的安全補丁，并檢查所有系統(tǒng)是否已成功安裝

4、OS-WINDOWS Microsoft Windows SMB永恒之藍探測

立即更新所有系統(tǒng)的安全補丁，并檢查所有系統(tǒng)是否已成功安裝

5、礦池地址

在防火墻上封鎖礦池的地址，以防止未經(jīng)授權(quán)的訪問

6、CARROTBAT家族遠控木馬活動事件

在受影響的系統(tǒng)上運行殺毒軟件，盡快隔離感染的主機，并且在所有主機上升級安全軟件和補丁。檢查其他系統(tǒng)是否也受到影響

7、Web服務(wù)暴力破解(失敗次數(shù))

禁用或防止對外網(wǎng)暴力破解登錄服務(wù)，限制用戶嘗試登錄的次數(shù)，并且實施密碼策略。盡可能使用雙因素身份驗證來加強認證安全

8、WEB弱口令

使用強密碼策略，包括最小密碼長度、密碼復(fù)雜度和密碼歷史。對所有Web應(yīng)用程序?qū)嵤┌踩詸z查，并且修復(fù)發(fā)現(xiàn)的弱密碼問題

9、SpicyHotPot家族遠控木馬活動事件

在受影響的系統(tǒng)上運行殺毒軟件，盡快隔離感染的主機，并且在所有主機上升級安全軟件和補丁。檢查其他系統(tǒng)是否也受到影響

10、HTTP Basic認證用戶名密碼泄露(Base64)

禁用HTTP Basic認證，并實施安全的身份驗證和授權(quán)策略，例如OAuth或OpenID Connect

11、Web服務(wù)暴力破解(嘗試次數(shù))

禁用或防止對外網(wǎng)暴力破解登錄服務(wù)，限制用戶嘗試登錄的次數(shù)，并且實施密碼策略。盡可能使用雙因素身份驗證來加強認證安全

12、內(nèi)網(wǎng)主機掃描smb服務(wù)

使用防火墻或網(wǎng)絡(luò)安全設(shè)備阻止內(nèi)網(wǎng)主機掃描SMB服務(wù)。升級所有系統(tǒng)的安全補丁，以防止可能利用的漏洞

13、Moudoor家族遠控木馬活動事件

在受影響的系統(tǒng)上運行殺毒軟件，盡快隔離感染的主機，并且在受影響的系統(tǒng)上運行最新的殺毒軟件，并對所有系統(tǒng)進行殺毒掃描，以確定是否有其他感染

14、主機存活掃描

如果是由內(nèi)部人員進行的掃描，則需要確認掃描是否得到了授權(quán)。如果未經(jīng)授權(quán)進行掃描，則需要對違規(guī)行為進行相應(yīng)的處罰或紀律處分。如果是由外部攻擊者進行的掃描，則需要立即采取措施，如封鎖攻擊者IP地址，限制對目標(biāo)主機的訪問等

15、SQL Server賬號暴力破解

需要立即停止暴力破解行為，并對相關(guān)賬號進行鎖定或禁用，同時對系統(tǒng)進行檢查，確認是否存在其他未知的賬號或漏洞。對于攻擊者，可以通過封鎖其IP地址、追蹤其行蹤等方式進行打擊

16、僵木蠕通信

需要及時對感染的主機進行隔離和清除，同時對整個網(wǎng)絡(luò)進行全面檢查，確認是否存在其他感染主機。同時需要對網(wǎng)絡(luò)安全防護進行加強，包括安裝防病毒軟件、禁止非法訪問等

17、MySQL賬號暴力破解

需要立即停止暴力破解行為，并對相關(guān)賬號進行鎖定或禁用，同時對系統(tǒng)進行檢查，確認是否存在其他未知的賬號或漏洞。對于攻擊者，可以通過封鎖其IP地址、追蹤其行蹤等方式進行打擊。同時需要對數(shù)據(jù)庫的安全性進行加強，如設(shè)置更強的密碼策略、限制對數(shù)據(jù)庫的訪問等

18、Web賬號暴力破解(密碼不同)

確認賬號是否被攻擊者登錄并進行非法操作。如果發(fā)現(xiàn)賬號被非法使用，應(yīng)該立即采取措施，如封鎖攻擊者的IP地址、清理受影響的系統(tǒng)和數(shù)據(jù)等

19、OSAMiner家族挖礦軟件回連活動事件

需要立即阻止挖礦軟件的回連，隔離被感染的主機，并使用殺毒軟件進行清除

20、檢測到目錄啟用了自動目錄列表功能

需要禁用目錄自動列出功能，以防止敏感文件被公開

21、內(nèi)部服務(wù)器發(fā)起SSH暴力破解（1分鐘超50次）

需要封鎖SSH暴力破解的源IP地址，或者采取其他防護措施，如使用SSH密鑰認證，限制登錄IP地址等

22、SQL注入攻擊(攻擊SQL語句)

需要修復(fù)Web應(yīng)用程序中的漏洞，如對用戶輸入的數(shù)據(jù)進行過濾、加密等，以避免SQL注入攻擊

23、AsyncRAT家族遠控木馬活動事件

需要阻止木馬程序的運行，并隔離被感染的主機，使用殺毒軟件進行清除

24、遠控木馬活動事件

需要隔離受感染的主機，使用殺毒軟件進行清除，并分析遠控木馬的運作方式，確定攻擊者的意圖和目的

25、Infostealer家族密碼竊取攻擊事件

需要盡快改變被攻擊的密碼，并使用殺毒軟件進行清除，同時應(yīng)該加強密碼策略，采用強密碼，并定期更改密碼

26、失陷主機對內(nèi)發(fā)起攻擊

需要隔離失陷的主機，并進行全面的檢查和清除，防止攻擊擴散

27、通用代碼注入攻擊

需要進行全面的檢查和修復(fù)，包括對Web應(yīng)用程序的漏洞進行修復(fù)、加強網(wǎng)絡(luò)安全監(jiān)控等，以避免類似攻擊的發(fā)生

28、CARROTBAT家族遠控木馬活動事件

需要隔離受感染的主機，并使用殺毒軟件進行清除，同時應(yīng)該對系統(tǒng)進行全面的檢查和修復(fù)，以避免類似攻擊事件再次發(fā)生

29、驅(qū)動人生木馬事件

需要隔離受感染的主機，并使用殺毒軟件進行清除，同時應(yīng)該對系統(tǒng)進行全面的檢查和修復(fù)，以避免類似攻擊事件再次發(fā)生

30、Alien家族遠控木馬活動事件

需要隔離受感染的主機，并使用殺毒軟件進行清除，同時應(yīng)該對系統(tǒng)進行全面的檢查和修復(fù)，以避免類似攻擊事件再次發(fā)生

31、SMB賬號暴力破解

需要立即采取防護措施，如限制登錄IP地址、使用復(fù)雜密碼、啟用賬號鎖定等，以防止SMB賬號暴力破解攻擊

32、零視科技H5S視頻平臺GetUserInfo信息泄漏漏洞

應(yīng)盡快修補漏洞并更新補丁，同時加強對敏感信息的保護和訪問控制

33、檢測到開啟JDWP端口

應(yīng)關(guān)閉該端口或限制訪問權(quán)限，以避免潛在的安全威脅

34、Agent Tesla家族遠控木馬活動事件

需要隔離受感染的主機，并使用殺毒軟件進行清除，同時應(yīng)該對系統(tǒng)進行全面的檢查和修復(fù)，以避免類似攻擊事件再次發(fā)生

35、帆軟報表反序列化漏洞

應(yīng)盡快修補漏洞并更新補丁，同時加強對反序列化操作的安全檢查

36、配置風(fēng)險->數(shù)據(jù)庫服務(wù)配置 : Redis 未授權(quán)訪問

應(yīng)盡快限制訪問權(quán)限，加強身份驗證和訪問控制，避免敏感信息泄漏

37、遠程控制->惡意域名 : C&C

應(yīng)立即隔離受感染的主機，使用殺毒軟件進行清除，并進行全面的安全檢查和修復(fù)

38、網(wǎng)站內(nèi)部錯誤-檢測到大量500錯誤狀態(tài)碼

應(yīng)及時排查錯誤原因，修復(fù)系統(tǒng)故障和漏洞，保障網(wǎng)站正常運行

39、Formbook家族遠控木馬活動事件

需要隔離受感染的主機，并使用殺毒軟件進行清除，同時應(yīng)該對系統(tǒng)進行全面的檢查和修復(fù)，以避免類似攻擊事件再次發(fā)生

40、Rogue家族遠控木馬活動事件

需要隔離受感染的主機，并使用殺毒軟件進行清除，同時應(yīng)該對系統(tǒng)進行全面的檢查和修復(fù)，以避免類似攻擊事件再次發(fā)生

41、dnslog信息外帶

應(yīng)加強對敏感信息的保護和訪問控制，限制外部訪問權(quán)限

42、存在配置風(fēng)險

應(yīng)立即加強對系統(tǒng)的安全防護，采取措施限制攻擊者的暴力破解行為，同時加強賬號密碼策略、安全審計等措施

43、遭受爆破成功

應(yīng)立即加強對系統(tǒng)的安全防護，采取措施限制攻擊者的暴力破解行為，同時加強賬號密碼策略、安全審計等措施

44、Magecart家族遠控木馬活動事件

需要隔離受感染的主機，并使用殺毒軟件進行清除，同時應(yīng)該對系統(tǒng)進行全面的檢查和修復(fù)，以避免類似攻擊事件再次發(fā)生

45、AUMLIB家族蠕蟲攻擊事件

對系統(tǒng)進行全面的安全掃描，確認是否有蠕蟲感染，以及感染的程度和范圍。如果發(fā)現(xiàn)有感染情況，立即對受感染的系統(tǒng)進行隔離和修復(fù)，以避免蠕蟲進一步擴散

46、OS-WINDOWS Microsoft Windows DNSAPI遠程執(zhí)行代碼嘗試

確保你的Windows操作系統(tǒng)處于最新的安全補丁狀態(tài)。更新操作系統(tǒng)以修復(fù)已知漏洞是重要的安全措施、配置防火墻規(guī)則，限制對Windows DNSAPI的遠程訪問。只允許授權(quán)的IP地址或網(wǎng)絡(luò)范圍進行訪問

47、Tinba家族遠控木馬活動事件

確認是否存在感染的主機，對受影響的主機進行隔離，防止進一步傳播

48、Redis未授權(quán)訪問

立即檢查你的Redis實例，確保它們不受未授權(quán)訪問的漏洞影響

49、Ramnit家族病毒攻擊事件

隔離感染主機，掃描和清除感染，更新和修補系統(tǒng)，強化安全策略，使用更新的殺毒軟件對所有受感染的主機進行全面掃描，確保將Ramnit病毒完全清除

50、EgavilanMedia SQLi認證繞過漏洞

漏洞修復(fù)，輸入驗證和過濾，最小特權(quán)原則，安全審計和監(jiān)控，持續(xù)漏洞管理，確保應(yīng)用程序?qū)τ脩糨斎脒M行正確的驗證和過濾，以防止惡意輸入導(dǎo)致的SQL注入攻擊