本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
当服务器遭遇勒索病毒、挖矿程序等恶意软件攻击时,业务可能瘫痪,数据面临丢失风险。病毒查杀功能通过深度扫描和精准清理,帮助您快速发现并清除服务器上的各类恶意威胁,恢复业务正常运行。
适用范围
功能概述
病毒查杀功能集成了阿里云机器学习病毒查杀引擎和实时更新的病毒库,通过对服务器的持久化启动项、活动进程、内核模块、敏感目录等关键位置进行扫描,有效识别并处理各类威胁。
核心能力
检测范围:覆盖进程、启动项、计划任务、敏感目录等关键扫描项。
处理方式:支持自动隔离、深度查杀、白名单管理等多种处置手段。
扫描模式:提供立即扫描、周期性扫描、自定义目录扫描等灵活模式。
适用场景
定期安检:按计划进行安全检查与威胁清理。
应急响应:用于安全事件发生后的快速处置与溯源。
合规加固:满足合规审计要求,并对系统进行安全强化。
不支持实时防护(在文件创建、修改、访问或程序执行时自动检测并阻止威胁)和全盘扫描(对系统所有文件进行完整的安全检查)。
支持处理的病毒类型和扫描项
病毒类型:勒索病毒、挖矿程序、DDoS木马、木马程序、后门程序、恶意程序、高危程序、蠕虫病毒、可疑程序及自变异木马。
扫描项:活动进程、隐藏进程、Docker进程、内核模块、已安装程序、动态库劫持、服务、计划任务、开机自启动项及敏感目录。
扫描病毒
病毒扫描支持立即扫描和周期性扫描两种方式。
登录控制台
登录云安全中心控制台。在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
服务授权
如果首次使用,系统可能会提示您为云安全中心授权服务关联角色。请单击立即授权并按引导完成。
说明授权成功后,云安全中心自动创建服务关联角色AliyunServiceRoleForSas,更多信息请参见云安全中心服务关联角色。
选择扫描方式
立即扫描:单击立即扫描或重新扫描,用于临时的、紧急的扫描任务。
周期性扫描:单击页面右上角的扫描设置,配置自动化扫描策略,建议用于日常自动化巡检。
配置参数
参考下表配置扫描参数后,单击确定或下一步启动任务。
配置项
说明
扫描周期
仅用于周期性扫描,设置自动扫描的时间间隔和执行时间段。
扫描模式
快速扫描:推荐用于日常巡检,自动检测活动进程、启动项、敏感目录等。
自定义目录扫描:扫描您指定的目录。支持输入多个绝对路径(换行输入),适用于针对性排查。
重要单次任务最多支持扫描30,000个文件,超过限制可能导致超时或部分文件未被处理。
单个文件大小上限为10MB。
内存检测
检测内存中的文件恶意代码和隐藏进程。
说明此功能会增加资源消耗和扫描时间,建议在业务低峰期或怀疑存在高级威胁时开启。
扫描范围
全部资产:扫描全部符合版本要求的服务器。
按资产:可指定具体的资产。
按分组:扫描该资产分组下的所有资产,如果选中的资产分组新增了资产,新增资产将自动加入扫描范围。
按VPC:扫描该VPC下的所有资产,如果选中的VPC新增了资产,新增资产将自动加入扫描范围。
查看任务进度
(可选)在病毒查杀页面右上角,单击任务管理,查看扫描任务状态和进展。
处理病毒告警
扫描完成后,您需要及时处理发现的病毒告警,以确保服务器安全。
病毒查杀功能扫描出来的告警信息,会同步至安全告警功能模块中。您可以在任一模块处理告警,状态会双向同步。
处理前检查清单
在选择处理方式前,建议先登录服务器,对可疑文件进行基础信息确认,评估业务影响。
文件信息确认:通过文件路径、签名、哈希值确认是否为病毒(避免误杀系统/业务文件)。
进程与归属检查::检查该文件是否被关键服务调用(如
nginx、mysql相关组件)业务影响评估:确认该文件是否为业务应用的一部分,删除后是否会影响服务。
选择处理方式
在告警列表中,找到需要处理的告警,单击处理,然后根据评估结果选择操作。您可以单击告警左侧的下拉图标查看病毒文件路径等详细信息。
处理方式 | 适用场景 |
深度查杀 | 确认是病毒文件,尤其是勒索、挖矿等顽固病毒。 |
加白名单 | 确认告警为误报,且希望未来不再收到此类告警。 警告 加白名单后,不会再生成相同告警数据,请谨慎选择。 |
忽略 | 确认告警为误报或已知可接受的风险(如内部授权的渗透测试活动、特定维护窗口期的异常行为)。 |
我已手工处理 | 已登录服务器通过其他方式手动清除了威胁。 |
深度查杀(推荐)
深度查杀由云安全中心安全专家团队经过对该持久化、顽固型病毒进行深度分析、测试后,推出的专项查杀能力。
处理过程:
查杀恶意病毒进程:拦截正在运行的恶意病毒进程,使其无法再次破坏业务运行。
隔离恶意文件:云安全中心会将病毒文件隔离至文件隔离箱中,支持恢复和下载隔离文件。
清除病毒木马的持久化驻留项:针对 Crontab、恶意下载源等持久化方式推出专项分析清除能力,同时引入AI智能学习能力,不断提升安全对抗能力。
处理结果:
状态更新:当前告警状态更新为“已处理”。
创建快照:若选择修复方式为自动创建快照并修复,会为服务器系统盘创建快照作为数据备份。
重要创建和保留快照会产生费用,费用由快照产品收取,默认采用按量付费(后付费)模式,费用说明请参见快照计费。
若不建立快照备份直接修复,存在误删业务文件导致服务中断的风险,且无法通过快照恢复。
加白名单
处理结果:
状态更新:当前告警状态更新为“已加白”。
后续影响:当相同告警再次发生,不会再生成新的告警数据,而是更新告警的最新发生时间。
风险提示:
加白后将失去对该特定文件的安全监控,请谨慎操作。如需取消加白,请参见如何取消加白(白名单)。
忽略
处理结果:
状态更新:当前告警状态更新为“已忽略”。
后续影响:此操作不影响后续检测。如果相同威胁再次出现,系统会重新生成告警。
风险提示:
“忽略”仅是一种告警状态管理操作,并不会解决引发告警的实际安全问题。
请在确认告警为误报或已评估并接受相关风险后,再执行此操作,以防遗漏真实攻击。
我已手工处理
处理结果:
状态更新:当前告警状态更新为“已处理”。
后续影响:此操作不影响后续检测。如果威胁未被彻底清除,系统仍可能再次生成告警。
风险提示:
“我已手工处理”仅是一种告警状态管理操作,用于闭环安全事件。
执行此操作前,请确保您已完成所有必要的修复和加固措施,否则可能导致威胁复发。
管理隔离文件
深度查杀隔离的恶意文件,可以在30天内进行恢复或下载分析,过期系统将自动清除。
在病毒查杀页面右上角,单击文件隔离箱。
找到目标文件,在操作列单击恢复或下载。
恢复:将文件还原到原始路径。请仅在确认文件为误隔离时执行此操作。
下载:将文件下载到本地,用于进一步分析。
应用于生产环境
开通告警通知
在 系统设置 > 通知设置 页面配置告警通知,确保在发现高危威胁时,能通过邮件、短信或钉钉等方式第一时间通知到相关负责人。具体操作,请参见通知设置。
性能优化与应急响应
性能优化:
对于
1核1G等低规格服务器,建议在业务低峰期执行快速扫描,并关闭内存检测。对于大规模扫描任务,建议分批执行,或在扫描设置中排除大型日志、备份目录,以减少扫描时间。
应急响应流程:
隔离:发现高危威胁后,立即使用安全组或断网等方式隔离受感染服务器。
取证:为服务器创建快照,备份关键日志。
清除:使用深度查杀功能,并手动检查持久化项是否彻底清除。
加固:修复漏洞、修改弱密码、收紧安全组访问策略。
监控:持续观察服务器状态,确认威胁未复发。
安全加固建议
为防范服务器后续再次遭受病毒攻击,建议对服务器实施必要的加固措施,以此加大攻击者的入侵代价,提高其突破防御的门槛。
开启恶意主机行为防御
在 防护配置 > 主机防护 > 恶意主机行为防御 页面开启此功能,具体操作参见恶意主机行为防御。它能主动拦截主流病毒(木马病毒、勒索软件、挖矿病毒、DDoS木马等威胁)的恶意行为,提供主动防御能力。
服务器安全加固
升级云安全中心版本:企业版和旗舰版支持病毒自动隔离(即病毒自动查杀)功能为您提供精准防御能力,支持更多的安全检测项。
收紧访问控制:仅开放必要的业务端口(如80、443),对管理端口(如22、3389)和数据库端口(如3306)配置严格的IP白名单访问策略。
说明若是阿里云 ECS服务器可参见管理安全组进行操作。
设置复杂服务器密码:为服务器和应用设置包含大小写字母、数字和特殊符号的复杂密码。
升级软件:请及时将应用软件更新至官方最新版本,避免使用已停止维护或存在已知安全漏洞的旧版本。
定期备份:对重要数据和服务器系统盘创建定期快照策略。
说明若是阿里云 ECS服务器可参见创建自动快照策略进行操作。
及时修复漏洞:定期使用云安全中心漏洞修复功能及时修补系统高危漏洞和应用漏洞。
重置服务器系统(谨慎选择)。
如果病毒入侵较深,关联到系统底层组件,强烈建议您在备份重要数据后,重置服务器的系统。具体操作步骤如下:
创建快照备份服务器上的重要数据。具体操作,请参见创建快照。
初始化服务器的操作系统。具体操作,请参见重新初始化系统盘(重置操作系统)。
使用快照生成云盘。具体操作,请参见使用快照创建数据盘。
挂载云盘到重装系统后的服务器上。具体操作,请参见挂载数据盘。
更多安全防护建议,请您查看操作系统安全加固。
配额与限制
不支持全盘扫描:为降低对服务器资源的占用,仅扫描系统高风险区域。
文件数量限制:自定义目录扫描模式下,单次任务最多支持扫描30,000个文件,超过限制可能导致超时或部分文件未被处理。
扫描时间限制:单次任务默认超时时间为2小时,超出限制的部分将被跳过。
文件大小限制:单个文件大小上限为10MB。
实践教程
常见问题
加白与忽略相关问题
如何取消加白(白名单)?
病毒查杀模块暂不支持取消加白,可前往,在已处理的告警列表中执行取消加白操作,具体操作可参见取消告警加白。
说明若您购买了威胁分析与响应(CTDR)服务,请在左侧导航栏,选择。
加白名单和忽略的区别?
差异点
加白
忽略
适用场景
永久性例外问题
适用于临时性、偶发性的误报或已知问题。
影响范围
后续相同告警将不再进行通知。
仅针对当前告警进行处理,对后续告警无影响。
病毒查杀与告警处理问题
病毒查杀和安全告警有什么区别?
病毒查杀是专注于检测和处理服务器恶意文件的功能模块,提供深度扫描和专项处置能力。
安全告警是一个统一的告警中心,汇总了包括病毒、异常登录、网络攻击、漏洞等在内的所有安全事件。
重要病毒查杀功能扫描出来的告警信息,会同步至安全告警功能模块中。您可以在任一模块处理告警,状态会双向同步。
为什么病毒处理后反复出现?
病毒处理后复发可能原因如下:
根本原因未解决:服务器存在弱口令、未修复的高危漏洞,导致攻击者可以重复入侵。
清理不彻底:初次处理时未能清除所有潜伏的后门或持久化项。
数据源污染:从带有病毒的备份或镜像恢复了数据。
处理方案:
参照安全加固方案进行安全加固。
完成病毒处理后,建议重启服务器及应用,以中断可能潜伏在内存中的恶意进程。
警告重启服务器会造成服务短暂中断,在此期间依赖该服务器运行的网站、应用程序等将无法正常访问,可能影响用户体验或业务流程的连续性,请在业务低峰期操作。
部分部署在服务器上的应用因未配置自动启动机制或依赖特定环境变量,通常需要手动重新启动,否则会导致应用服务不可用。例如特定版本的消息队列,请提前评估重启方案。
如何处理多条告警(批量处理告警)?
模块扫描出的病毒类告警支持批量处理。
进入病毒查杀列表页,选择需要处理的告警,单击左侧多选框。
单击左下角批量处理按钮,选择合适的处理方式即可。
模块支持批量加白、批量忽略的处理方式来处理告警。
进入安全告警列表,选择需要处理的告警,单击左侧多选框。
单击左下角忽略本次或加白名单按钮即可。
告警显示文件不存在怎么办?
这可能是因为病毒已被其他方式清除或病毒自身清理了痕迹,可在告警列表中点击“忽略”或“已手工处理”来清除此条告警。
扫描与任务执行问题
扫描任务失败或超时怎么办?
任务超时:通常是因为自定义扫描的目录过大。解决方案如下:
尝试将大范围的扫描任务拆分为多个小范围的自定义目录扫描任务,特别关注
/tmp,/var/tmp,/root等高危目录。在扫描配置中排除大型日志或数据目录。
在业务低峰期执行扫描。 ·
任务失败:
检查Agent状态:确保服务器上的云安全中心Agent进程(
AliYunDun)正常运行且网络在线。检查网络连通性:在服务器上测试能否访问云安全中心的服务端地址。
检查系统资源:确保
/tmp等目录有足够的磁盘空间(建议至少1GB),且CPU、内存资源未被耗尽。查看Agent日志:Linux路径为
/usr/local/aegis/aegis_client/aegis_10_*/log/aegis.log。
病毒处理失败怎么办?
刷新页面后重试。若仍失败,可点击“已手工处理”,然后尝试手动删除文件。如果文件无法删除(Operation not permitted),说明可能被加了
i权限,可解锁命令chattr -i <file>后删除。
系统兼容与工具配置问题
病毒库版本在哪里看?
在总览页面查看病毒库更新时间,云端病毒库是自动实时更新的,用户无需手动操作。
能否安装第三方杀毒软件(360/火绒)?
可以,但需注意可能存在的兼容性问题。建议将云安全中心客户端(Agent)的核心进程和目录(请参见客户端进程说明)加入第三方软件的白名单,以防被误杀。