云安全中心高级版和企业版可检测异常网络连接类型的事件,并提供告警。

问题描述

云安全中心控制台提示“异常网络连接-访问恶意域名”。

解决方法

  1. 在云安全中心控制台安全告警处理页面,单击异常网络连接-访问恶意域名,展开该告警的详情页面。

  2. 根据详情页面报告的该进程的路径、ID等信息,确认该进程是否是由您主动执行的。如果不是,说明该进程为恶意进程,请执行步骤3。
    说明 如果您确认该域名属于误报,可单击忽略本次(云安全中心将标记该告警为已处理),或单击标记为误报,后续云安全中心将不再对该正常程序进行告警。
  3. 根据详情页面报告的恶意域名地址、解析的IP地址和端口号等信息,对该告警所有关联的异常进程进行定位,并在您的服务器中手动清除这些恶意进程。
  4. 安全告警处理页面,筛选待处理的告警,对云安全告警的威胁进行全面排查和处理。
    • 在云安全中心控制台对网站后门文件进行隔离
    • 恶意进程(云查杀)文件进行手动删除并清理该进程的计划任务。
      说明 您可在安全告警处理页面筛选出待处理的恶意进程(云查杀)进程后,在该告警的详情页面,查看是否存在计划任务以及进程所在的路径。
  5. 添加安全组规则,在出方向对该恶意IP配置拒绝访问。安全组隔离操作参见添加安全组规则