本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
云安全中心病毒查杀功能使用阿里云机器学习病毒查杀引擎和实时更新的病毒库,提供丰富的系统扫描项,覆盖持久化启动项、活动进程、内核模块、敏感目录、SSH后门公钥等系统薄弱模块,可有效清理服务器的各类恶意威胁。本文介绍如何使用病毒查杀功能。
版本限制
包年包月版:开通步骤请参见购买包年包月实例,其中版本选择为防病毒版、高级版、企业版或旗舰版。
按量付费版:开通步骤请参见开通按量付费功能,其中主机及容器安全选择是。且开通后请至少为一台服务器完成防病毒版、高级版、企业版或旗舰版授权,具体操作请参见绑定服务器防护版本(按量付费版)。
仅支持已绑定防病毒版、高级版、企业版或旗舰版防护版本的服务器使用该功能。
支持处理的病毒类型和扫描项
病毒类型:勒索病毒、挖矿程序、DDoS木马、木马程序、后门程序、恶意程序、高危程序、蠕虫病毒、可疑程序及自变异木马。
扫描项:活动进程、隐藏进程、Docker进程、内核模块、已安装程序、动态库劫持、服务、计划任务、开机自启动项及敏感目录。
操作步骤
步骤一:扫描病毒
病毒查杀功能会对云安全中心防护的所有服务器,针对勒索病毒、挖矿程序等顽固病毒提供深度扫描服务。病毒扫描支持立即扫描和周期性扫描。
为降低对服务器资源的占用,暂不提供全盘扫描能力。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
如果未授权创建过服务关联角色AliyunServiceRoleForSas,您需要单击立即授权,根据页面提示完成授权操作。
说明授权成功后,云安全中心自动创建服务关联角色AliyunServiceRoleForSas。关于AliyunServiceRoleForSas的更多信息,请参见云安全中心服务关联角色。
在病毒查杀页面,立即扫描病毒或者设置周期性扫描病毒。
立即扫描
在病毒查杀页面,单击立即扫描或重新扫描。
在扫描设置面板,设置扫描模式和扫描范围。
配置项
说明
扫描模式
快速扫描:该模式下,云安全中心会自动检测活动进程、启动项、敏感目录文件等安全风险。
自定义目录扫描:该模式下,您可以自定义需要扫描的文件目录。
重要多个文件目录需要换行输入。
单次最大支持扫描30,000个文件,如果文件目录中的文件超过30,000个,超出部分的文件将无法扫描或导致扫描超时。
内存检测
通过扫描内存等方式检测隐藏的可疑后门。
警告该检测运行时性能占用较大,开启前请仔细评估。
扫描范围
全部资产:扫描全部符合版本要求的服务器。
按资产:可指定具体的资产。
按分组:扫描该资产分组下的所有资产,如果选中的资产分组新增了资产,新增资产将自动加入扫描范围。
按VPC:扫描该VPC下的所有资产,如果选中的VPC新增了资产,新增资产将自动加入扫描范围。
单击确定。
云安全中心按照设定的扫描模式和扫描范围进行病毒扫描。扫描预计需要2~5分钟完成,请您耐心等待。
设置周期性扫描(推荐)
周期性扫描能够实现系统的自动化扫描,不仅可降低人力成本,还能及时发现病毒威胁。
在病毒查杀页面右上角,单击扫描设置。
在扫描设置面板,设置扫描病毒的周期、扫描模式和扫描范围。
配置项
说明
扫描周期
设置自动扫描的时间间隔和扫描时间段。
说明扫描周期不宜设置过于频繁,以免影响服务器应用的正常运行。
扫描模式
快速扫描:该模式下,云安全中心会自动检测活动进程、启动项、敏感目录文件等安全风险。
自定义目录扫描:该模式下,您可以自定义需要扫描的文件目录。
重要多个文件目录需要换行输入。
单次最大支持扫描30,000个文件,如果文件目录中的文件超过30,000个,超出部分的文件将无法扫描或导致扫描超时。
内存检测
通过扫描内存等方式检测隐藏的可疑后门。
警告该检测运行时性能占用较大,开启前请仔细评估。
扫描范围
全部资产:扫描全部符合版本要求的服务器。
按资产:可指定具体的资产。
按分组:扫描该资产分组下的所有资产,如果选中的资产分组新增了资产,新增资产将自动加入扫描范围。
按VPC:扫描该VPC下的所有资产,如果选中的VPC新增了资产,新增资产将自动加入扫描范围。
单击下一步。
云安全中心会按照您的设置规则对要扫描的资产执行自动扫描病毒。
(可选)在病毒查杀页面右上角,单击任务管理,查看扫描任务状态和进展。
步骤二:处理病毒告警
云安全中心针对病毒扫描检出的威胁项,还提供了完整的威胁处置能力,支持对勒索、挖矿等顽固病毒一键深度查杀。扫描完成后,建议您及时查看并处理扫描结果,以确保您的服务器不受恶意病毒的威胁。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
单击告警列表的下拉图标
,可查看告警信息,明确病毒文件位置。
通过以下方式进入告警处理页面。
处理单个告警主机:在检查结果列表中定位到需要处理告警的服务器,在操作列单击处理。
批量处理多个告警主机:选中需要处理的多个服务器,单击批量处理。
在告警处理面板,选择告警处理方式。
深度查杀(推荐)
加白名单
忽略
我已手工处理
单击下一步。
系统开始处理告警。处理完成后,您可以查看处理结果和告警状态。
重要若处理失败,可尝试手动删除病毒文件。
步骤三(可选):安全加固与攻击预防
处理完病毒后,为防止再次受到病毒攻击,建议进行服务器安全加固和开启恶意主机行为防御。
开启恶意主机行为防御
在使用云安全中心病毒查杀功能时,建议您同时开启恶意主机行为防御功能。具体操作,请参见恶意主机行为防御。
恶意主机行为防御主要防御能力:会自动拦截主流木马病毒、勒索软件、挖矿病毒、DDoS木马等威胁,阻断其恶意行为。
服务器安全加固
为防范服务器后续再次遭受病毒攻击,建议对服务器实施必要的加固措施,以此加大攻击者的入侵代价,提高其突破防御的门槛。
升级云安全中心版本
企业版和旗舰版支持病毒自动隔离(即病毒自动查杀)功能为您提供精准防御能力,目前已支持主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等类型,支持的安全检测项也更多。
设置服务器安全组
常见的安全组设置如下,若是阿里云 ECS服务器可参见管理安全组进行操作。
只允许指定的IP地址进行3389(远程桌面)、22(SSH)登录,避免服务器管理端口被黑客扫描或爆破。
在安全组中,只放行必要的业务端口(例如80、443),其他无关端口不要放行。
对于数据库端口(例如1433、3306、6379等),应设置为只允许指定的IP来连接,如无必要,建议不要对外开放。
设置复杂服务器密码
服务器密码设置尽量复杂,不要过于简单(包含大小写字母+数字+特殊符号,密码长度至少8位以上) 。
升级软件
应用软件要经常升级到新版本,不要用老版本的软件。
创建磁盘快照
定期对重要服务器做磁盘快照。这样当出现数据丢失、误删数据、数据被黑客篡改(比如勒索病毒)等意外事件时,可以通过磁盘快照恢复您的数据。 若是阿里云 ECS服务器可参见创建自动快照策略进行操作。
及时修复漏洞
可使用云安全中心漏洞修复工鞥及时修补系统高危漏洞和应用漏洞(注意:修补漏洞前先做快照备份)。
更多安全防护建议,请您查看文档操作系统安全加固。
常见病毒告警处理实践教程
更多操作
恢复/下载隔离文件
云安全中心会将病毒文件隔离至文件隔离箱中,若需要还原和下载,可参考如下步骤:
被成功隔离的文件在30天内可进行一键恢复,过期系统将自动清除。
单击病毒查杀页面右上角的文件隔离箱。
根据主机及文件路径定位到目标文件,单击操作列的恢复或下载。
设置告警通知
可以在
页面配置告警通知等级和通知方式进行灵活配置。此举可确保服务器遭受病毒威胁时,相关告警能按预设机制及时触发并送达,以便管理人员迅速响应与处置,从而有效应对潜在风险。具体操作,请参见通知设置。
常见问题
病毒查杀和安全告警有什么区别?
差异点 | 病毒查杀 | 安全告警 |
检测类型 | 是针对勒索病毒、挖矿程序等顽固病毒提供的深度扫描服务。 |
|
版本要求 | 防病毒版、高级版、企业版和旗舰版。 说明 以上版本支持扫描的病毒类型和扫描项相同。 | 免费版、防病毒版、高级版、企业版和旗舰版。 说明 免费版仅支持自变异木马、DDoS木马、挖矿程序检测,更多信息请参见安全告警特性。 |
病毒处理后又复发(反复感染同一种病毒)怎么办?
病毒处理后复发可能原因如下:
弱口令: SSH/RDP/数据库密码过于简单。
漏洞未修复: Redis, XXL-JOB, WebLogic等应用存在高危漏洞。
后门潜伏: 初次清理不彻底,留下了隐藏的后门。
数据污染: 恢复了带有病毒的备份/快照。
处理方案:
可参照步骤三(可选):安全加固与攻击预防进行安全加固。
另外建议完成病毒处理后,备份数据后重启服务器及应用。
警告重启服务器会造成服务短暂中断,在此期间依赖该服务器运行的网站、应用程序等将无法正常访问,可能影响用户体验或业务流程的连续性,请在业务低峰期操作。
部分部署在服务器上的应用因未配置自动启动机制或依赖特定环境变量,通常需要手动重新启动,否则会导致应用服务不可用。例如特定版本的消息队列,请提前评估重启方案。
如何取消加白(白名单)?
病毒查杀模块暂不支持取消加白,可前往查看和处理安全告警。
,在已处理的告警列表中执行取消加白操作,具体操作可参见若您购买了威胁分析与响应(CTDR)服务,请在左侧导航栏,选择
。扫描超时怎么办?
设置扫描范围为自定义目录扫描功能,分小目录进行扫描,特别关注/tmp
, /var/tmp
, /root
等高危目录。
处理失败怎么办?
刷新页面后重试。若仍失败,可点击“已手工处理”,然后尝试手动删除文件。如果文件无法删除(Operation not permitted),说明可能被加了i
权限,提供解锁命令chattr -i <file>
。
告警显示文件不存在怎么办?
这可能是因为病毒已被其他方式清除或病毒自身清理了痕迹,可在告警列表中点击“忽略”或“已手工处理”来清除此条告警。
如何处理成多条告警(批量处理告警)?
模块扫描出的病毒类告警支持批量处理。
进入病毒查杀列表页,选择需要处理的告警,单击左侧多选框。
单击左下角批量处理按钮,选择合适的处理方式即可。
模块仅支持批量加白、批量忽略的处理方式来处理告警。
进入安全告警列表,选择需要处理的告警,单击左侧多选框。
单击左下角忽略本次或加白名单按钮即可。
病毒库版本在哪里看?
在总览页面查看病毒库更新时间,云端病毒库是自动实时更新的,用户无需手动操作。
能否安装第三方杀毒软件(360/火绒)?
可以,但需注意可能存在的兼容性问题。建议将云安全中心客户端(Agent)的核心进程和目录(提供路径)加入第三方软件的白名单,以防被误杀。