华为云主机安全旗舰版支持检测8220挖矿木马，华为云主机安全旗舰版支持检测反弹shell和各种异常shell，能够有效应对攻击者利用下载器和脚本进行组合攻击。华为云主机安全能够有效阻断SSH账户暴破攻击，有效检测Redis漏洞以及利用Redis未授权访问漏洞发起的攻击，从而应对“8220”团伙在入侵后发起的横向移动与渗透。

华为云主机安全旗舰版支持检测8220挖矿木马

8220挖矿团伙是一个长期活跃的利用多个漏洞进行攻击和部署挖矿程序的国内团伙，该团伙组合利用WebLogic XMLDecoder 反序列化漏洞(CVE-2017-10271)、Drupal RCE(CVE-2018-7600)、JBoss 反序列化命令执行漏洞(CVE-2017-12149)、Apache Struts远程代码执行漏洞（CVE-2017-5638）、Tomcat弱口令爆破等多个漏洞进行攻击并部署挖矿程序进行牟利。

根据以下攻击机制，可以详细了解到此团伙的攻击路径分为5个阶段，分别对应ATT&CK模型的初始访问阶段、执行阶段、横向移动阶段、持久化阶段、影响阶段。

华为云主机安全检测能力

1. 初始访问阶段

“8220”团伙在初始攻击阶段利用Apache Struts漏洞进行攻击时，客户可使用华为云网页防篡改中的动态网页防篡改功能机制检测到此漏洞。

2. 执行阶段

华为云主机安全旗舰版支持检测反弹shell和各种异常shell，能够有效应对攻击者利用下载器和脚本进行组合攻击。

3. 横向移动阶段

华为云主机安全能够有效阻断SSH账户暴破攻击，有效检测Redis漏洞以及利用Redis未授权访问漏洞发起的攻击，从而应对“8220”团伙在入侵后发起的横向移动与渗透。

4. 持久化阶段

针对持久化阶段中的Crontab-Shell，华为云主机安全旗舰版支持客户针对Crontab新增定时任务进行告警，用户可以根据业务情况判断定时任务是否是正常任务。

5. 影响阶段

在最后的影响阶段，检测“挖矿”，“僵尸网络”更是华为云主机安全服务的强项，产品通过“恶意程序检测（病毒云查杀）”功能以及“进程异常行为检测”功能，能够分别根据特征与行为对“挖矿”，“僵尸网络”进行检测并清除。

目前华为云主机安全可为客户提供4个版本的服务，满足客户不同需求的安全保障，包括主机安全基础版（购买ECS赠送）、企业版（等保测评必备）、旗舰版（应对APT攻击）、网页防篡改，客户可到华为云官网进行选购。

华为云主机安全：

官方地址：华为云企业主机安全HSS详解

本文转自华为云产品与解决方法公众号。