租户端 安全 主机安全(CWP) 操作指南

文件查杀

最近更新时间: 2024-12-19 17:12:00

本文档将指导您如何在主机安全控制台对木马文件进行操作处理。

文件查杀设置

  1. 登录主机安全租户端控制台,在左侧导航栏中,选择【入侵检测】>【文件查杀】。
  2. 在文件查杀中,单击右上角处【查杀设置】,右侧弹出查杀设置页面,可对查杀模式进行设置。

说明:

  • 常见的木马文件检测有以下两种:
    • Webshell 检测:提供常用的 Web 网站类脚本木马后门检测,包含 ASP/PHP/JSP/Python 等脚本语言。
    • 二进制检测:提供对二进制可执行类的病毒木马检测,例如 DDoS 木马、远控、挖矿类软件等,文件类型包括 exe、dll、bin 等,并告警用户。

  1. 在【查杀设置】中,支持定时扫描、实时监控、自动隔离设置。
  • 定时扫描:单击开启【定时检测】,设置检测模式、周期和检测范围后,单击【保存】,可定期扫描主机木马病毒文件,增强安全性。

字段说明:

  • 检测模式:包括快速检测模式和全盘检测模式,可对运行中进程、关键目录、驱动加载等进行检测。其中全盘检测的时长与服务器磁盘文件数量相关,推荐选择4小时以上,避免出现扫描不完整或超时情况。
  • 检测周期:可选择每天、每隔3天或每隔7天检测周期。
  • 检测范围:支持选择全部专业版或旗舰版服务器、自选服务器。
  • 实时监控:单击开启【实时监控】,并选择监控模式后,单击**【保存】**,可实时监控 Web 目录、系统关键目录,查杀木马病毒文件。

字段说明:

  • 监控模式:
    • 标准:监控并扫描检测常见目录下增量文件。
    • 深度:监控并扫描检测所有目录下增量文件。
  • 自动隔离:单击开启【自动隔离】>【保存】,将自动隔离检测出的恶意文件,部分恶意文件仍需用户手动确认隔离,建议检查文件查杀列表中所有安全事件,确保已全部处理。

说明:

若出现误隔离,请在已隔离列表中对文件进行恢复。开启或关闭自动隔离,均需要进行配置,实际生效存在几分钟延迟。

检测设置概览

  1. 登录主机安全租户端控制台 ,在左侧导航栏中,选择【入侵检测】>【文件查杀】。
  2. 在文件查杀页面,单击【一键检测】,开始设置手动检测模式。

  1. 在【一键检测设置】弹窗中,确定检测模式、引擎模式、主机范围后,还可配置超时时间(检测可能会因为文件、目录过多等原因导致耗时较长)。

  1. 单击【开始检测】后将按检测设置进行检测,单击【查看详情】可查看检测详情。

检测详情列表字段说明:

  • 影响服务器 :服务器的 IP 及名称。
  • 操作系统 :服务器的操作系统。
  • 检测状态:检测完成、检测中、检测失败(原因:可能是检测超时失败,建议增加超时时间后重新检测;可能是客户端已离线,建议重启或重新安装客户端后重新检测)。
  • 待处理风险:服务器检出待处理的风险文件数量。
  • 检测开始时间:此次检测开始的时间。
  • 检测结束时间:服务器检测结束的时间。
  • 操作:
    • 重新检测:若想对检测状态处于检测完成、检测停止和检测失败的服务器再次检测,您可以单击【重新检测】。
    • 停止检测:若想对检测状态处于检测中的服务器停止检测,您可以单击【停止检测】,服务器将不会被检测,可能存在的风险,请谨慎操作。
  • 查看详情:若想查看目标服务器的检测结果,您可以单击【查看详情】。

查看告警列表

  1. 登录主机安全租户端控制台 ,在左侧导航栏中,选择【入侵检测】>【文件查杀】。
  2. 在文件查杀页面,可查看当前受防护的服务器中木马文件的检测情况,如下图所示:

告警列表字段说明:

  • 主机名称/实例ID:被检测的服务器名称和实例ID。
  • IP地址 :被检测的服务器IP地址。
  • 路径:风险文件路径,单击复制文件路径、单击下载风险文件样本。
  • 病毒名/检出引擎:入侵风险文件的病毒名。
  • 首次发现时间:首次检出该风险文件的时间。
  • 最近检测时间:最近一次检出该风险文件的时间。
  • 处理状态:风险文件的处理状态,待处理状态的事件会提示最近一次检测该文件时,文件和进程的存在情况。
  • 操作:
    • 详情:可查看恶意文件详情。
    • 隔离:隔离此病毒文件,让黑客无法再次启动它,便于您定位病毒文件位置,对其进行查杀。(注意:windows系统下,若该文件正在运行中,会导致隔离失败),支持隔离并杀掉该文件相关进程,建议勾选。
    • 标记已处理:建议您参照告警详情中的“修复建议”进行处理,处理后可将该告警标记为已处理。
    • 加入白名单:若您确认该进程运行属于正常行为,可将该进程添加白名单放行规则,后续再出现该进程运行,将直接放行不再拦截/告警。
    • 忽略:仅将本次告警进行忽略,若再有相同情况发生依然会进行告警。
    • 删除记录:删除该告警记录,控制台将不再显示,无法恢复记录,请慎重操作。

常见问题

木马文件为什么隔离失败?

木马文件隔离失败,一般是由于木马文件对抗安全软件导致的,建议先自行删除服务器中的告警文件。若仍无法处理,请联系我们进行处理,Windows 系统也可尝试使用腾讯电脑管家进行查杀。

后续步骤