我一直好奇阿里腾讯这些云服务器是怎么检测到的系统私人文件的

hanweizhe

【阿里云】尊敬的xxx：云盾云安全中心检测到您的服务器：xxx（-）出现了紧急安全事件：发现后门（Webshell）文件，建议您立即登录云安全中心控制台-安全告警处理http://a.aliyun.com/f1.rtMIH 进行处理。
以前报警更直接 直接说出目录xx.com/木马.php
这种入侵的报警就算了
不管是linux还是win系统 你在win里面做个木马撒的 几秒钟马上报警短信就来了文件夹xx目录发现xx.exe病毒

这种发现令人发指 感觉服务商完全知道你电脑在干嘛
尊敬的腾讯云用户，您好！

您的服务器 10.135.181.200(开发商账号:2672053389 instancd-id:ins-cvingm4i 地域:gz) 检测到存在未处理的 D:/wwwroot/www.feifei-china.com/data/cache/asd.php 木马文件。您的服务器疑似被黑客入侵，请即刻前往云镜控制台查看详细信息。

处理措施可参照：https://cloud.tencent.com/document/product/296/2223

建议开通云镜专业防护，降低被黑客入侵风险，获得专家在线支持服务。

专业防护详情可见 https://cloud.tencent.com/document/product/296/12236

开通专业防护 https://console.cloud.tencent.com/yunjing/index/upgrade

此致！

腾讯云安全团队

从此信息可以看出 云服务器完全有能力随时判断我们在干嘛 就算装个系统 存自己的文件 分分钟警告
最后 我想问 他们这些是怎么判断到我们服务器的私人文件的 24小时不间断扫描我们的私人文件源代码和存储吗

xemhack

您的服务器 10.135.181.200

wwbfred

这种文件是有特征的，只要读取某一部分，如果符合特征，再做哈希就行了。如果文件太大都可以不做哈希，多分析几个特征准确率都是可接受的。
不是什么困难的事，也不过度消耗资源和IO，你DD了他也可以照扫不误。

忘江湖

它服务器系统自带的那个什么云顿服务程序，常驻进程，其实就是个腾讯云的后门，它会扫描你的全盘文件，探测你的服务器设置，甚至记录你的各种操作。所以我的服务器直接DD了一个干净精简系统，就安静了，安装包小还有多于的磁盘空间可以使用。

wwbfred

xemhack 发表于 2022-8-9 16:15
您的服务器 10.135.181.200

内网IP，无所谓的吧。账号与账号之间独立的。

hanweizhe

wwbfred 发表于 2022-8-9 16:16
这种文件是有特征的，只要读取某一部分，如果符合特征，再做哈希就行了。如果文件太大都可以不做哈希，多分 ...

我就是想说dd了也照样扫

zxjlhsq

因为安装了agent

wwbfred

hanweizhe 发表于 2022-8-9 16:20
我就是想说dd了也照样扫

这种东西一般都是扔宿主机的，不会扔你虚拟机的监控里。要不别人反汇编一下就知道你是怎么做判断的了，这还得了。

会翻车吗

阿里腾讯都一样 你一上传违法的立马作死 相当于官方的后门 当然官方会说这是安全软件