网页防篡改功能可实时监控服务器网站目录或文件,并可在网站被恶意篡改时通过备份数据恢复被篡改的文件或目录,防止网站被植入非法信息,保障网站正常运行。本文介绍如何使用网页防篡改功能。
前提条件
已在需要网页防篡改防护的服务器上安装云安全中心客户端。具体操作,请参见安装客户端。
背景信息
网络攻击者通常会利用被攻击网站中存在的漏洞,通过在网页中植入非法暗链等方式篡改网页内容,进行非法牟利或者恶意商业攻击等活动。网页被恶意篡改会影响您的网页被正常访问,还可能会导致严重的经济损失、品牌损失甚至是政治风险。
云安全中心客户端通过自动化采集被保护服务器的防护目录下文件的进程列表,实时识别异常进程和异常文件变动,并对导致异常文件变动的进程进行拦截或告警。
计费说明
网页防篡改功能为云安全中心的增值服务,需要您购买后才能使用。该功能的计费详情,请参见云安全中心计费说明。
使用限制
一个网页防篡改授权数可防护一台服务器。
一台服务器只能添加一次防护,一台服务器最多可添加10个防护目录。
当服务器操作系统和内核版本在指定版本号范围(白名单功能支持的操作系统和内核版本)内时:
支持使用白名单功能:如果已确认拦截或告警的异常文件变动为正常业务进程,可将该进程路径加入白名单,云安全中心将不再对该进程进行拦截和告警。
添加防护目录时,有以下限制:
每个被防护的文件或目录的完整路径长度不能超过1,000个英文字符或500个中文字符。
如果防护目录被设置为NFS server的进程路径,则无法防御通过NFS client访问修改该路径下文件的攻击行为。
当服务器操作系统和内核版本不在指定版本号范围(白名单功能支持的操作系统和内核版本)内时:
不支持使用白名单功能。即使加入白名单,防篡改进程白名单也无法生效。
添加防护目录时,有以下限制:
每个被防护的目录大小不超过20 GB。
每个被防护的目录下的文件夹个数不超过20,000个。
每个被防护的目录文件夹层级不超过20个。
每个被防护的文件大小不超过20 GB。
告警模式无法使用。
网络文件系统NFS路径无法防御。
可能不产生告警信息。产生的告警信息中不包含进程路径信息。
操作系统 | 操作系统版本号 | 内核版本号 |
Windows(32位或64位) | Windows Server 2008、2012、2016和2019 | 所有版本。 |
CentOS(64位) | 不限制,以支持的内核版本号为准 | |
Ubuntu(64位) | 不限制,以支持的内核版本号为准 | |
Debian | 不限制,以支持的内核版本号为准 | |
Anolis OS(64位) | 不限制,以支持的内核版本号为准 | |
RHEL | 不限制,以支持的内核版本号为准 | |
AliyunOS(64位) | 不限制,以支持的内核版本号为准 | |
Oracle Linux | 不限制,以支持的内核版本号为准 |
步骤一:购买防篡改授权数
在使用网页防篡改功能前,需要确保当前阿里云账号下拥有足够的防篡改授权数。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择。
根据您是否购买过网页防篡改授权数,执行以下操作。
未购买网页防篡改授权数
在网页防篡改页面,单击立即升级。
根据您使用的云安全中心版本,参考以下步骤操作。
免费版:
在请选择适合您的产品版本面板,选择任意版本。在立即购买面板,选择版本、保有服务器台数等配置,您需将网页防篡改选择是,并按照您需要网页防篡改防护的服务器数量选择防篡改授权数量。
支持单独购买网页防篡改服务,您只需将版本选择置为仅采购增值服务。关于选择云安全中心版本和其他购买配置的更多信息,请参见购买云安全中心。
付费版本:
在请选择适合您的产品版本面板,单击升级,在立即升级面板,将网页防篡改选择是,按照需要网页防篡改防护的服务器数量选择防篡改授权数量。
单击立即购买并完成支付。
已购买过网页防篡改授权数
如果网页防篡改授权数为0或不足时,您可以在网页防篡改页面右上角,单击购买配额,购买足够数量的防篡改授权数。
步骤二:为服务器添加防护
为已安装云安全中心客户端的服务器添加防护,一台服务器可以添加多个防护目录。
在网页防篡改页面,首次使用网页防篡改功能时,单击创建网页防篡改。
如果非首次使用,在网页防篡改页面的防护管理页签,单击为服务器添加防护。
在创建网页防篡改面板的服务器列表中,选中要开启网页防篡改防护的服务器,单击下一步。
配置网页防篡改防护规则,单击开启防护。
默认采用白名单模式,设置需要防护的目录和文件类型。您也可以单击黑名单模式,设置需要防护的目录下不需要防护的子目录、文件类型和指定文件。
白名单模式
防护目录下已添加到防护规则中的防护文件被修改时,云安全中心会拦截或告警。
配置项
说明
防护目录
填写您要防御的服务器的目录。指定防御目录后,修改防御目录下的文件名称、内容或者文件属性时,云安全中心将根据进程白名单、防护模式,决定是否拦截。
填写格式为:/目录名称/,例如:
/tmp/。防护文件类型
选择或输入您要防护的文件类型。
您可以在下拉列表选择要防护的文件类型,也可以在此处手动输入下拉列表中未列出的文件类型。
说明目前防护文件类型不受限制,所有文件类型都支持网页防篡改防护。
防护模式
拦截模式:云安全中心会主动拦截异常进程、异常文件变动,确保您服务器中网站和文件的安全。
告警模式:云安全中心会对识别到的异常进程、异常文件变动进行告警。
重要如果服务器操作系统和内核版本不在白名单功能支持的操作系统和内核版本范围内,告警模式将不生效,防护模式选择告警模式,云安全中心依然会拦截异常进程。
本地备份目录
设置防护目录的备份存储路径。
安全中心为您指定的默认备份目录为
/usr/local/aegis/bak(Linux服务器)和C:\Program Files (x86)\Alibaba\Aegis\bak(Windows服务器),您可以手动修改默认的备份路径。重要如果服务器操作系统和内核版本在白名单功能支持的操作系统和内核版本范围内,不会使用本地备份目录,可忽略该设置。
配置示例
例如:防护目录填写
/tmp/、防护文件类型选择XML、防护模式选择拦截模式,则表示当tmp目录下XML格式的文件被修改时,云安全中心将会拦截该操作。黑名单模式
防护目录下已添加到防护规则的子目录、文件类型、指定文件被修改时,不会被告警或拦截;未添加到防护规则的子目录、文件类型、指定文件被修改时,会被告警或拦截。
防护目录、防护模式和本地备份目录的配置说明,参见上文的白名单模式。
配置项
说明
排除子目录
输入不需要防护的子目录的路径。
填写格式为:子目录名称/,例如:
dir1/dir0/。排除文件类型
选择或填写不需要防护的文件类型。
排除指定文件
输入不需要防护的文件。
填写格式为:子目录名称/文件,例如:
dir2/file3。重要排除子目录、排除文件类型和排除指定文件之间为或的关系。
配置示例
例如:防护目录填写
/tmp/、排除子目录填写dir1/dir0/、排除文件类型选择txt、排除指定文件填写dir2/file3、防护模式选择拦截模式,则表示只有tmp目录下的dir1子目录下dir0子目录下的文件、txt(扩展名)类型的文件、或者dir2子目录下的file3文件可以被修改,tmp目录下的其他任何文件或者目录都无法被修改(修改操作将被云安全中心拦截)。
(可选)在网页防篡改页面的防护管理页签下的服务器列表中,定位到已创建网页防篡改防护的服务器,单击操作列的添加防护目录,可添加更多的防护目录。
您可单击服务器名称前的展开
图标,查看该服务器下已添加的防护目录列表,单击防护目录对应的编辑,修改防护规则。在网页防篡改页面的防护管理页签下的服务器列表中,定位到已创建网页防篡改防护的服务器,单击防护状态列的
图标,为该服务器开启网页防篡改保护。首次开启防护时,目标主机的服务状态列将会显示为启动中,并显示启动进度条。请耐心等待,启动成功后服务状态将会显示为正在运行。
以下为服务状态的说明:
服务状态
说明
建议
启动中
网页防篡改防护服务正在开启。
首次开启防护时,目标主机的服务状态将会显示为启动中。请耐心等待。
正在运行
防护状态已成功开启,服务正常运行中。
无。
异常
防护开启异常。
将鼠标移动到目标服务器的服务状态上,查看发生异常的原因并单击重试。
未启动
防护状态为未开启。
需将防护状态设置为开启。
步骤三:查看防护状态
在网页防篡改页面的防护状态页签下,查看防护详情。
网页防篡改检测的总览数据,以及最近15天内防护文件和阻断进程排名前5的统计数据。
网页防篡改告警详情列表
云安全中心检测到的所有(包括拦截模式和告警模式)异常文件变动及其详细信息,包括紧急程度(目前只有中危等级)、告警名称、受影响资产、异常变动文件的路径、异常进程名称、防御状态等。
在已处理列表中:
默认展示拦截模式的告警事件,状态默认为已防御,表示网页防篡改功能在检测到异常文件变动事件时,已及时为您拦截执行该异常变动的进程。
在未处理列表中:
展示告警模式的告警事件,状态默认为未处理,表示网页防篡改功能已对异常进程、异常文件变动进行告警。
如果您确认被拦截或告警的异常变动为正常业务需求,可通过白名单功能恢复该进程的正常运行。加入白名单后的告警事件会在已处理列表中展示,状态显示为已加入白名单。详细内容,请参见可选:加入白名单。
重要如果告警尝试次数(进程写文件次数)超过100次,建议您及时关注并处理该告警。
可选:加入白名单
如果您确认服务器中指定进程的文件变动是正常业务需求,并希望修改被防御进程文件,可以把此进程加入进程白名单,使对应的防御文件可以被正常改动。
防护的服务器需要在白名单功能支持的操作系统和内核版本中,才能正常使用该功能。具体支持的范围,请参见白名单功能支持的操作系统和内核版本。
黑客有可能利用白名单进程入侵主机,建议您根据业务场景谨慎录入白名单。
在网页防篡改页面的防护状态页签下,将正常业务进程加入白名单。
将单个告警事件加入白名单
在未处理的告警事件列表中,定位到您要加入白名单的异常进程,单击操作列的处理。
在弹出的对话框中,处理方式选择加白名单,然后单击立即处理。
如果您需要对不同服务器中存在的同一个进程进行加白,或者对同一个服务器中不同文件路径下的同一个进程进行加白,可选中同时处理存在相同进程的服务器。
您也可以在已处理的告警事件列表中,查看已防御状态的进程路径,将需要被正常改动的进程加入白名单。
将多个告警事件批量加白名单
在防护状态的告警事件列表中,选中多个您要加入白名单的异常进程。
单击列表底部的加入白名单,在对话框中单击确定。
直接将目标防护进程加入白名单
单击阻断进程数或进程白名单下方的数字,进入进程管理面板。
单击右上角的录入白名单,填写进程路径、服务器名称/IP将多个异常进程批量加入白名单。
查看、取消白名单
您可以单击进程白名单下方的数字进入进程管理面板,查看所有已加入白名单的异常进程,包括该进程所在的服务器、进程路径、尝试写文件次数等信息。
如果您需要将异常进程从白名单中移除,可以单击操作列的取消白名单进行移除白名单操作。您也可以选中多个白名单后,单击下方取消白名单进行批量移除白名单操作。