网页防篡改功能可实时监控网站目录并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。本文介绍如何使用网页防篡改功能。

背景信息

网络攻击者通常会利用被攻击网站中存在的漏洞,通过在网页中植入非法暗链对网页内容进行篡改等方式,进行非法牟利或者恶意商业攻击等活动。网页被恶意篡改会影响您正常访问网页内容,还可能会导致严重的经济损失、品牌损失甚至是政治风险。

云安全中心Agent通过自动化采集被保护服务器的防护目录下文件的进程列表,实时识别异常进程和异常文件变动,并对导致异常文件变动的进程进行拦截或告警。

版本限制

仅云安全中心的防病毒版、高级版、企业版、旗舰版支持该功能,免费版不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配

计费说明

网页防篡改功能为云安全中心的增值服务,需要您单独开通并购买。开通网页防篡改的具体操作,请参见开通服务

网页防篡改功能的计费详情,请参见云安全中心计费说明

操作系统和内核版本限制

使用网页防篡改功能时,服务器需要运行特定版本的操作系统和内核,否则您添加的防篡改进程白名单将无法生效,告警模式也将无法使用。

  • 待防护的服务器系统和内核版本在操作系统和内核版本限制范围内,有以下限制:
    • 每台服务器最多可添加10个防护目录。
    • 每个被防护的文件或目录的完整路径长度不能超过1,000个英文字符或500中文字符。
  • 待防护的服务器系统和内核版本不在操作系统和内核版本限制范围内,有以下限制:
    • 每台服务器最多可添加10个防护目录。
    • 每个被防护的目录大小不超过20 GB。
    • 每个被防护的目录下的文件夹个数不超过20,000个。
    • 每个被防护的目录文件夹层级不超过20个。
    • 每个被防护的文件大小不超过20 GB。
    • 防篡改进程白名单无法生效。
    • 告警模式无法使用。
    • 网络文件系统NFS路径无法防御。
表 1. 操作系统和内核版本限制
操作系统 操作系统版本号 内核版本号
Windows(32位或64位) Windows Server 2008、2012、2016和2019 所有版本
CentOS(64位)
  • CentOS 6.3
  • CentOS 6.5
  • CentOS 6.6
  • CentOS 6.7
  • CentOS 6.8
  • CentOS 6.9
  • CentOS 6.10
  • CentOS 7.0-1406
  • CentOS 7.1-1503
  • CentOS 7.2-1511
  • CentOS 7.3-1611
  • CentOS 7.4-1708
  • CentOS 7.5-1804
  • CentOS 7.6-1810
  • CentOS 7.7-1908
  • CentOS 7.8-2003
  • CentOS 7.9-2009
  • 2.6.32-**(表示所有2.6.32版本的CentOS系统内核)
  • 3.10.0-**(表示所有3.10.0版本的CentOS系统内核)
  • CentOS 8.0-1905
  • CentOS 8.1-1911
  • CentOS 8.2-2004
  • CentOS 8.3-2011
  • CentOS 8.4-2105
  • CentOS 8.5
  • CentOS Stream 8
  • 4.18.0-80.11.2.el8_0.x86_64
  • 4.18.0-147.3.1.el8_1.x86_64
  • 4.18.0-147.5.1.el8_1.x86_64
  • 4.18.0-147.8.1.el8_1.x86_64
  • 4.18.0-193.el8.x86_64
  • 4.18.0-193.6.3.el8_2.x86_64
  • 4.18.0-193.14.2.el8_2.x86_64
  • 4.18.0-193.28.1.el8_2.x86_64
  • 4.18.0-240.1.1.el8_3.x86_64
  • 4.18.0-240.15.1.el8_3.x86_64
  • 4.18.0-240.22.1.el8_3.x86_64
  • 4.18.0-305.3.1.el8.x86_64
  • 4.18.0-305.7.1.el8_4.x86_64
  • 4.18.0-305.10.2.el8_4.x86_64
  • 4.18.0-305.12.1.el8_4.x86_64
  • 4.18.0-305.19.1.el8_4.x86_64
  • 4.18.0-305.25.1.el8_4.x86_64
  • 4.18.0-348.2.1.el8_5.x86_64
  • 4.18.0-348.7.1.el8_5.x86_64
  • 4.18.0-358.el8.x86_64
  • 4.18.0-365.el8.x86_64
Ubuntu(64位) Ubuntu 14.04
  • 3.13.0-32-generic
  • 3.13.0-65-generic
  • 3.13.0-86-generic
  • 3.13.0-145-generic
  • 3.13.0-164-generic
  • 3.13.0-170-generic
  • 3.19.0-80-generic
  • 4.4.0-93-generic
Ubuntu 16.04
  • 4.4.0-62-generic
  • 4.4.0-63-generic
  • 4.4.0-79-generic
  • 4.4.0-93-generic
  • 4.4.0-96-generic
  • 4.4.0-104-generic
  • 4.4.0-117-generic
  • 4.4.0-124-generic
  • 4.4.0-142-generic
  • 4.4.0-146-generic
  • 4.4.0-151-generic
  • 4.4.0-154-generic
  • 4.4.0-157-generic
  • 4.4.0-161-generic
  • 4.4.0-170-generic
  • 4.4.0-174-generic
  • 4.4.0-176-generic
  • 4.4.0-177-generic
  • 4.4.0-178-generic
  • 4.4.0-179-generic
  • 4.4.0-184-generic
  • 4.4.0-194-generic
  • 4.4.0-198-generic
  • 4.4.0-210-generic
Ubuntu 18.04
  • 4.15.0-23-generic
  • 4.15.0-42-generic
  • 4.15.0-45-generic
  • 4.15.0-48-generic
  • 4.15.0-52-generic
  • 4.15.0-54-generic
  • 4.15.0-66-generic
  • 4.15.0-70-generic
  • 4.15.0-72-generic
  • 4.15.0-88-generic
  • 4.15.0-91-generic
  • 4.15.0-96-generic
  • 4.15.0-101-generic
  • 4.15.0-106-generic
  • 4.15.0-109-generic
  • 4.15.0-112-generic
  • 4.15.0-117-generic
  • 4.15.0-118-generic
  • 4.15.0-121-generic
  • 4.15.0-122-generic
  • 4.15.0-124-generic
  • 4.15.0-128-generic
  • 4.15.0-143-generic
  • 4.15.0-151-generic
  • 4.15.0-162-generic
  • 4.15.0-166-generic
  • 4.15.0-169-generic
  • 4.15.0-170-generic
  • 4.15.0-173-generic
  • 4.15.0-175-generic
  • 4.15.0-177-generic
  • 4.15.0-181-generic
  • 4.15.0-189-generic
  • 4.15.0-190-generic
  • 4.15.0-192-generic
Ubuntu 20.04
  • 5.4.0-47-generic
  • 5.4.0-70-generic
  • 5.4.0-77-generic
  • 5.4.0-86-generic
  • 5.4.0-90-generic
  • 5.4.0-92-generic
  • 5.4.0-94-generic
  • 5.4.0-100-generic
  • 5.4.0-102-generic
  • 5.4.0-106-generic
  • 5.4.0-108-generic
  • 5.4.0-110-generic
  • 5.4.0-113-generic
  • 5.4.0-122-generic
  • 5.4.0-123-generic
  • 5.4.0-125-generic
Anolis OS(64位)
  • Anolis OS 7.9 RHCK
  • Anolis OS 7.9 ANCK
  • Anolis OS 8.4 RHCK
  • 3.10.0-1062.an7.x86_64
  • 3.10.0-1160.an7.x86_64
  • 3.10.0-1160.59.1.0.1.an7.x86_64
  • 3.10.0-1160.62.1.0.1.an7.x86_64
  • 3.10.0-1160.66.1.0.1.an7.x86_64
  • 3.10.0-1160.71.1.0.1.an7.x86_64
  • 4.18.0-348.2.1.an8_4.x86_64
  • 4.18.0-348.12.2.an8.x86_64
  • 4.18.0-348.20.1.an8_5.x86_64
  • 4.18.0-348.23.1.an8_5.x86_64
  • 4.18.0-372.9.1.an8.x86_64
  • 4.18.0-372.16.1.an8_6.x86_64
  • 4.18.0-372.19.1.an8_6.x86_64
  • 4.19.91-25.2.an7.x86_64
  • 4.19.91-25.7.an7.x86_64
  • 4.19.91-25.7.an8.x86_64
  • 4.19.91-25.8.an8.x86_64
  • 4.19.91-26.an7.x86_64
  • 4.19.91-26.an8.x86_64
  • 4.19.91-26.1.an8.x86_64
RHEL
  • RHEL 6.2
  • RHEL 7.7
  • RHEL 7.8
  • RHEL 7.9
  • RHEL 8.0
  • 2.6.32-220
  • 3.10.0-1062
  • 3.10.0-1127
  • 3.10.0-1160
  • 4.18.0-80
AliyunOS(64位)
  • Alibaba Cloud Linux 2.1903
  • Alibaba Cloud Linux 3.2104
  • 4.4.95-1.al7.x86_64
  • 4.4.95-2.al7.x86_64
  • 4.4.95-3.al7.x86_64
  • 4.19.24-7.al7.x86_64
  • 4.19.24-7.14.al7.x86_64
  • 4.19.81-17.al7.x86_64
  • 4.19.81-17.2.al7.x86_64
  • 4.19.91-18.al7.x86_64
  • 4.19.91-19.1.al7.x86_64
  • 4.19.91-21.al7.x86_64
  • 4.19.91-22.2.al7.x86_64
  • 4.19.91-23.al7.x86_64
  • 4.19.91-24.al7.x86_64
  • 4.19.91-24.1.al7.x86_64
  • 4.19.91-25.1.al7.x86_64
  • 4.19.91-25.3.al7.x86_64
  • 4.19.91-25.6.al7.x86_64
  • 4.19.91-25.7.al7.x86_64
  • 4.19.91-25.8.al7.x86_64
  • 4.19.91-26.al7.x86_64
  • 4.19.91-26.1.al7.x86_64
  • 5.10.23-5.al8.x86_64
  • 5.10.60-9.al8.x86_64
  • 5.10.84-10.2.al8.x86_64
  • 5.10.84-10.3.al8.x86_64
  • 5.10.84-10.4.al8.x86_64
  • 5.10.112-11.al8.x86_64
  • 5.10.112-11.1.al8.x86_64
  • 5.10.112-11.2.al8.x86_64
  • 5.10.134-12.al8.x86_64

开通服务

  1. 登录云安全中心控制台在左侧导航栏,选择防护配置 > 主机防护 > 网页防篡改
  2. 网页防篡改页面,单击立即升级,在请选择适合您的产品版本面板单击升级,在升级面板,网页防篡改选择,按照您要防护的服务器数量选择防篡改授权数
    说明 升级面板的保有服务器台数区域会显示您当前接入云安全中心的服务器数量,您可按照保有服务器台数购买对应数量的防篡改授权数
  3. 单击立即购买,完成支付。

为服务器添加防护

可使用的网页防篡改授权数为0时,您将无法添加新的防护服务器。在为服务器添加防护前,请确保您当前阿里云账号有足够的网页防篡改授权数。如果要新增服务器添加防护,您可以在网页防篡改页面右上角,单击购买配额,购买足够数量的防篡改授权数

  1. 登录云安全中心控制台在左侧导航栏,选择防护配置 > 主机防护 > 网页防篡改
  2. 网页防篡改页面的防护管理页签下,单击为服务器添加防护
  3. 创建网页防篡改面板的服务器列表中,选中要开启网页防篡改防护的服务器,单击下一步
  4. 配置网页防篡改防护规则,单击开启防护
    • 白名单模式

      白名单模式下,防护目录下的已添加到防护规则中的防护文件类型被修改时,云安全中心会拦截或告警。

      配置项 说明
      防护目录

      填写您要防御的服务器的目录。指定防御目录后,修改防御目录下的文件名称、内容或者文件属性时,云安全中心将根据进程白名单、防护模式,决定是否拦截。

      填写格式为:/目录名称/,例如:/tmp/

      防护文件类型 选择或输入您要防护的文件类型。

      您可以在下拉列表选择要防护的文件类型,也可以在此处手动输入下拉列表中未列出的文件类型。

      防护模式
      • 拦截模式:云安全中心会主动拦截异常进程、异常文件变动,确保您服务器网站和文件的安全。
      • 告警模式:云安全中心会对识别到的异常进程、异常文件变动进行告警。
        重要 如果服务器操作系统和内核版本不在操作系统和内核版本限制范围内,告警模式将不生效,防护模式选择告警模式,云安全中心依然会拦截异常进程。
      本地备份目录

      防护目录的默认备份存储路径。

      安全中心为您指定的默认备份目录为/usr/local/aegis/bak(Linux服务器)和C:\Program Files (x86)\Alibaba\Aegis\bak(Windows服务器),您可手动修改默认的备份路径。

      配置示例

      例如:防护目录填写/tmp/防护文件类型选择XML、防护模式选择拦截模式,则表示当tmp目录下XML格式的文件被修改时,云安全中心将会拦截该操作。

    • 黑名单模式

      黑名单模式下,防护目录下已添加到防护规则的子目录、文件类型、指定文件被修改时,不会告警或拦截;未添加到防护规则的子目录、文件类型、指定文件被修改时,将会告警或拦截。

      配置项 说明
      防护目录 填写您要防御的服务器的目录。指定防御目录后,修改防御目录下的文件名称、内容或者文件属性时,云安全中心将根据进程白名单、防护模式,决定是否拦截。

      填写格式为:/目录名称/,例如:/tmp/

      排除子目录 输入无需防护的子目录的路径。

      填写格式为:子目录名称/,例如:dir1/dir0/

      排除文件类型 选择或填写不需要防护的文件类型。
      排除指定文件 输入不需要防护的文件。

      填写格式为:子目录名称/文件,例如:dir2/file3

      防护模式
      • 拦截模式:云安全中心会主动拦截异常进程、异常文件变动,确保您服务器网站和文件的安全。
      • 告警模式:云安全中心会对识别到的异常进程、异常文件变动进行告警。
        重要 如果服务器操作系统和内核版本不在操作系统和内核版本限制范围内,告警模式将不生效,防护模式选择告警模式,云安全中心依然会拦截异常进程。
      本地备份目录

      防护目录的默认备份存储路径。

      安全中心为您指定的默认备份目录为/usr/local/aegis/bak(Linux服务器)和C:\Program Files (x86)\Alibaba\Aegis\bak(Windows服务器),您可手动修改默认的备份路径。

      重要 排除子目录排除文件类型排除指定文件之间为或的关系。

      配置示例

      例如:防护目录填写/tmp/排除子目录填写dir1/dir0/排除文件类型选择txt、排除指定文件填写dir2/file3防护模式选择拦截模式,则表示只有tmp目录下的dir1子目录下dir0子目录下的文件、txt(扩展名)类型的文件、或者dir2子目录下的file3文件可以被修改,tmp目录下的其他任何文件或者目录都无法被修改(修改操作将被云安全中心拦截)。

  5. 网页防篡改页面的服务器列表中,定位到刚创建网页防篡改防护的服务器,单击防护状态列的开关图标,为该服务器开启网页防篡改保护。
    首次开启防护时,目标主机的服务状态列将会显示为启动中,并显示启动进度条。请耐心等待数秒,启动成功后服务状态将会显示为正在运行
    以下为服务状态的说明:
    服务状态 说明 建议
    启动中 网页防篡改防护服务正在开启。 首次开启防护时,目标主机的服务状态将会显示为启动中。请耐心等待数秒。
    正在运行 防护状态已成功开启,服务正常运行中。
    异常 防护开启异常。 将鼠标移动到目标服务器的服务状态上,查看发生异常的原因并单击重试
    未启动 防护状态为未开启。 需将防护状态设置为开启

查看防护状态

  1. 登录云安全中心控制台在左侧导航栏,选择防护配置 > 主机防护 > 网页防篡改
  2. 网页防篡改页面的防护状态页签下,查看防护状态。
    • 网页防篡改统计数据

      您可以在统计数据总览模块中查看当天以及最近15天内发生变动的文件总数、已被防护的服务器数量和目录数量、已被网页防篡改功能阻断的可疑进程数量、已被加入到白名单中的进程数量、您当前账号下已购买的网页防篡改授权总数。

    • 防篡改防护文件类型分布数据

      防护文件类型包括TXT、PNG、MSI、ZIP等文件类型。您也可以手动添加需要防护的其他文件类型。

      说明 目前防护文件类型不受限制,所有文件类型都支持网页防篡改防护。
    • 文件变动数Top 5

      该模块展示了最近15天内检测到的变动次数排名前5的文件名称和文件所在路径。

    • 阻断进程Top 5

      该模块展示了最近15天内检测到的被防篡改服务阻断的排名前5的异常进程名称和数量。

    • 网页防篡改告警详情列表

      该列表展示了网页防篡改功能为您资产拦截到的所有异常文件变动及其详细信息,包括告警等级、告警名称、受影响资产、异常变动文件的路径、异常进程名称、防御状态等信息。

      说明
      • 如果告警尝试次数(进程写文件次数)超过100次,建议您及时关注并处理该告警。
      • 目前告警等级只有中危等级。
      • 防御状态只有已防御一种状态,表示网页防篡改功能在检测到异常文件变动事件时,已及时为您拦截执行该异常变动的进程。如果您确认被拦截的异常变动为正常业务需求,可通过白名单功能恢复该进程的正常运行。详细内容,请参见加入白名单

加入白名单

网页防篡改功能检测到异常文件变动时,会实时拦截进程对文件的修改操作。如果您确认此进程是正常业务进程,且希望可以修改被防御的文件,可以把此进程加入进程白名单,使其可以正常修改防御文件。

  1. 登录云安全中心控制台在左侧导航栏,选择防护配置 > 主机防护 > 网页防篡改
  2. 网页防篡改页面的防护状态页签下,将正常业务进程加入白名单。
    重要 黑客有可能利用白名单进程入侵主机,建议您根据业务场景谨慎录入白名单。
    • 单个告警事件加白名单
      1. 在防护状态的告警事件列表中,定位到您要加入白名单的异常进程,单击操作列的处理
      2. 在弹出的对话框中,处理方式选择加白名单,然后单击确定

        如果您需要对不同服务器中存在的同一个进程进行加白、或者对同一个服务器中不同文件路径下的同一个进程进行加白,请勾选同时处理存在相同进程的服务器

    • 多个告警事件批量加白名单
      1. 在防护状态的告警事件列表中,选中多个您要加入白名单的异常进程。
      2. 单击列表底部的加入白名单,在对话框中单击确定
      您还可以单击进程白名单下方的数字进入进程管理面板,单击右上角的录入白名单,填写进程路径服务器名称/IP将多个异常进程批量加入白名单。查看白名单
    • 查看、取消白名单

      您还可以单击进程白名单下方的数字进入进程管理面板,查看所有已加入白名单的异常进程,包括该进程所在的服务器、进程路径、尝试写文件次数等信息。

      如果您需要将异常进程从白名单中移除,可以单击操作列的取消白名单进行移除白名单操作。您也可以选中多个白名单后,单击下方取消白名单进行批量移除白名单操作。