本文档将为您介绍如何对反弹 Shell 详情进行查看和处理,同时指导您如何创建白名单,用于设置被允许的反向连接行为。
背景信息
反弹 Shell 功能是基于多维度多手段,对服务器上的 Shell 反向连接行为进行识别记录,为您的云服务器提供反弹 Shell 行为的实时监控能力。
操作步骤
告警列表
登录主机安全租户端控制台,在左侧导航栏中,选择【入侵检测】>【反弹 Shell】,进入反弹 Shell 告警列表页。
在反弹 Shell 【告警列表】标签页面,可查看反弹 Shell 事件列表,并进行相关操作。
可查看发生反弹 Shell 的主机名称/实例ID、IP地址、连接进程等信息,列表展示字段支持自定义。
- 筛选:反弹 Shell 告警列表支持选择日期查看相应事件,支持按关键字及标签查询(多个关键字用竖线 “|” 分隔,多个过滤标签用回车键分隔)事件,同时支持按状态(全部、待处理及已确认)筛选告警。
- 自定义设置列表字段:在反弹 Shell 告警列表上方,单击
,可设置列表展示字段,选择完成后,单击【确定】,即可设置成功。
,可设置列表展示字段,选择完成后,单击【确定】,即可设置成功。
- 事件导出:在反弹 Shell 告警列表上方,单击
,可将反弹 Shell 告警列表导出。 - 详情:在目标反弹 Shell 事件的右侧操作栏,单击【详情】,可查看反弹 Shell 事件详情。
,可将反弹 Shell 告警列表导出。
- 标记已处理:建议您参照告警详情中的“修复建议”,人工对该告警进行处理,处理后可将告警标记为已处理。
- 加入白名单:加入白名单操作后,当再次发生相同情况时将不再进行告警,请谨慎操作。
- 忽略:仅将本次告警进行忽略,若再有相同情况发生依然会进行告警。
- 删除记录:删除该告警记录,控制台将不再显示,无法恢复记录,请慎重操作。
白名单管理
反弹 Shell 支持添加白名单,通过设置白名单条件,将满足条件的事件标记为白名单。
- 登录主机安全租户端控制台,在左侧导航栏中,选择【入侵检测】>【反弹 Shell】 ,进入反弹 Shell 页面。
- 在反弹 Shell 页面,选择【白名单管理】 > 【添加白名单】。
- 在添加白名单弹窗中,设置反弹 Shell 条件,包括:目标主机、自定义连接进程(支持多个进程名,以英文逗号分隔),同时选择该条件覆盖的服务器范围,单击确定。
字段说明:
- IP 地址格式:单个 IP(127.0.0.1)、IP 范围(127.0.0.1-127.0.0.254)、IP 网段(127.0.0.1/24)。
- 端口格式:80,8080(支持多个端口并以英文逗号分隔,不限端口请留空)。
- 勾选两个条件时,需要同时满足才能命中白名单。
- 若服务器范围选择全部服务器,将对用户 APPID 下所有服务器添加信任该白名单条件,请谨慎操作。
- 设置完成后,可在白名单管理列表查看该条件,告警列表中满足该条件的事件会被标记为白名单事件。
- 在白名单管理页面,可对白名单进行筛选删除等操作。
筛选:已配置的白名单支持按关键字及标签查询(多个关键字用竖线 “|” 分隔,多个过滤标签用回车键分隔)筛选。
自定义设置列表字段:在白名单列表上方,单击
,可设置列表展示字段,选择完成后,单击确定,即可设置成功。
,可设置列表展示字段,选择完成后,单击确定,即可设置成功。
编辑:在目标白名单的右侧操作栏,单击【编辑】,可对已创建的白名单进行编辑。
删除:在白名单列表中,支持对已配置的白名单进行删除。
