全部产品
云市场
    云安全中心中如何处理“异常网络连接-访问恶意域名”的告警名称

云安全中心中如何处理“异常网络连接-访问恶意域名”的告警名称

问题描述

云安全中心的安全告警处理页面中,出现“异常网络连接-访问恶意域名”的告警。

解决方案

阿里云提醒您:

  • 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
  • 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
  • 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。
  1. 云安全中心控制台安全告警处理页面,单击异常网络连接-访问恶意域名告警名称,弹出该告警的详情页面。
  2. 根据详情页面报告的该进程的路径、ID等信息,确认该进程是否是由您主动执行的。如果不是,说明该进程为恶意进程,请执行步骤3和步骤4。
    说明:如果该进程是由您主动执行,说明该进程为正常程序,您可单击忽略本次(云安全中心将标记该告警为已处理)。如果该正常程序出现多次告警,可单击标记为误报,后续云安全中心将不再对该正常程序进行告警。
  3. 根据详情页面报告的进程路径、ID、解析的IP等信息,对该告警所有关联的异常进程进行定位,并在您的服务器中手动清除这些恶意进程。
  4. 安全告警处理页面,筛选待处理的告警,对云安全告警的威胁进行以下全面排查和处理:
    • 在云安全中心控制台对网站后门文件进行隔离
    • 恶意进程(云查杀)文件进行手动删除并清理该进程的计划任务。
      说明:您可在安全告警处理页面中,筛选出待处理的恶意进程(云查杀)进程后,在该告警的详情页面,查看是否存在计划任务以及进程所在的路径。
  5. 如果详情页面有展示该恶意进程的IP地址,可对该恶意IP配置安全组进行隔离。安全组隔离操作参见添加安全组规则

适用于

  • 云安全中心
    说明:适用于云安全中心高级版和企业版。

如果您的问题仍未解决,您可以在阿里云社区免费咨询,或提交工单联系阿里云技术支持。