病毒查杀

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

云安全中心病毒查杀功能使用阿里云机器学习病毒查杀引擎和实时更新的病毒库,提供丰富的系统扫描项,覆盖持久化启动项、活动进程、内核模块、敏感目录、SSH后门公钥等系统薄弱模块,可有效清理服务器的各类恶意威胁。本文介绍如何使用病毒查杀功能。

版本限制

说明

仅支持已绑定防病毒版、高级版、企业版或旗舰版防护版本的服务器使用该功能。

支持处理的病毒类型和扫描项

  • 病毒类型:勒索病毒、挖矿程序、DDoS木马、木马程序、后门程序、恶意程序、高危程序、蠕虫病毒、可疑程序及自变异木马。

  • 扫描项:活动进程、隐藏进程、Docker进程、内核模块、已安装程序、动态库劫持、服务、计划任务、开机自启动项及敏感目录。

操作步骤

步骤一:扫描病毒

病毒查杀功能会对云安全中心防护的所有服务器,针对勒索病毒、挖矿程序等顽固病毒提供深度扫描服务。病毒扫描支持立即扫描周期性扫描

说明

为降低对服务器资源的占用,暂不提供全盘扫描能力。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择防护配置 > 主机防护 > 病毒查杀

  3. 如果未授权创建过服务关联角色AliyunServiceRoleForSas,您需要单击立即授权,根据页面提示完成授权操作。

    说明

    授权成功后,云安全中心自动创建服务关联角色AliyunServiceRoleForSas。关于AliyunServiceRoleForSas的更多信息,请参见云安全中心服务关联角色

  4. 病毒查杀页面,立即扫描病毒或者设置周期性扫描病毒。

    立即扫描

    1. 病毒查杀页面,单击立即扫描重新扫描

    2. 扫描设置面板,设置扫描模式和扫描范围。

      配置项

      说明

      扫描模式

      • 快速扫描:该模式下,云安全中心会自动检测活动进程、启动项、敏感目录文件等安全风险。

      • 自定义目录扫描:该模式下,您可以自定义需要扫描的文件目录。

        重要
        • 多个文件目录需要换行输入。

        • 单次最大支持扫描30,000个文件,如果文件目录中的文件超过30,000个,超出部分的文件将无法扫描或导致扫描超时。

      内存检测

      通过扫描内存等方式检测隐藏的可疑后门。

      警告

      该检测运行时性能占用较大,开启前请仔细评估。

      扫描范围

      • 全部资产:扫描全部符合版本要求的服务器。

      • 按资产:可指定具体的资产。

      • 按分组:扫描该资产分组下的所有资产,如果选中的资产分组新增了资产,新增资产将自动加入扫描范围。

      • VPC:扫描该VPC下的所有资产,如果选中的VPC新增了资产,新增资产将自动加入扫描范围。

    3. 单击确定

      云安全中心按照设定的扫描模式和扫描范围进行病毒扫描。扫描预计需要2~5分钟完成,请您耐心等待。

    设置周期性扫描(推荐)

    周期性扫描能够实现系统的自动化扫描,不仅可降低人力成本,还能及时发现病毒威胁。

    1. 病毒查杀页面右上角,单击扫描设置

    2. 扫描设置面板,设置扫描病毒的周期、扫描模式和扫描范围。

      配置项

      说明

      扫描周期

      设置自动扫描的时间间隔和扫描时间段。

      说明

      扫描周期不宜设置过于频繁,以免影响服务器应用的正常运行。

      扫描模式

      • 快速扫描:该模式下,云安全中心会自动检测活动进程、启动项、敏感目录文件等安全风险。

      • 自定义目录扫描:该模式下,您可以自定义需要扫描的文件目录。

        重要
        • 多个文件目录需要换行输入。

        • 单次最大支持扫描30,000个文件,如果文件目录中的文件超过30,000个,超出部分的文件将无法扫描或导致扫描超时。

      内存检测

      通过扫描内存等方式检测隐藏的可疑后门。

      警告

      该检测运行时性能占用较大,开启前请仔细评估。

      扫描范围

      • 全部资产:扫描全部符合版本要求的服务器。

      • 按资产:可指定具体的资产。

      • 按分组:扫描该资产分组下的所有资产,如果选中的资产分组新增了资产,新增资产将自动加入扫描范围。

      • VPC:扫描该VPC下的所有资产,如果选中的VPC新增了资产,新增资产将自动加入扫描范围。

    3. 单击下一步

      云安全中心会按照您的设置规则对要扫描的资产执行自动扫描病毒。

  5. (可选)病毒查杀页面右上角,单击任务管理,查看扫描任务状态和进展。

步骤二:处理病毒告警

云安全中心针对病毒扫描检出的威胁项,还提供了完整的威胁处置能力,支持对勒索、挖矿等顽固病毒一键深度查杀。扫描完成后,建议您及时查看并处理扫描结果,以确保您的服务器不受恶意病毒的威胁。

重要

病毒查杀功能扫描出来的告警信息,会同步至安全告警功能模块中。

  • 若在安全告警中处理了相关病毒告警,会同步处理状态至病毒查杀,无需重复处理,具体操作可参见查看和处理安全告警

  • 相反若在病毒查杀模块处理了病毒告警,也会同步处理状态至安全告警,无需重复处理。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择防护配置 > 主机防护 > 病毒查杀

  3. 单击告警列表的下拉图标image,可查看告警信息,明确病毒文件位置。image

  4. 通过以下方式进入告警处理页面。

    • 处理单个告警主机:在检查结果列表中定位到需要处理告警的服务器,在操作列单击处理

    • 批量处理多个告警主机:选中需要处理的多个服务器,单击批量处理

  5. 告警处理面板,选择告警处理方式。

    深度查杀(推荐)

    深度查杀由云安全中心安全专家团队经过对该持久化、顽固型病毒进行深度分析、测试后,推出的专项查杀能力。

    前置检查

    深度查杀病毒查杀可能存在误删文件风险、服务中断风险、数据完整性风险,为避免影响正常业务,建议您在执行处理前,对源文件进行检查,常见检查点如下:

    • 验证文件属性:通过文件路径、签名、哈希值确认是否为病毒(避免误杀系统/业务文件)。

    • 业务依赖评估:检查该文件是否被关键服务调用(如 nginxmysql 相关组件)。

    处理及修复说明

    • 处理列表

      • 查杀恶意病毒进程:拦截正在运行的恶意病毒进程,使其无法再次破坏业务运行。

      • 隔离恶意文件:隔离病毒文件,让黑客无法再次启动病毒文件,同时云安全中心会将病毒文件隔离至文件隔离箱中,方便您下载分析或还原,具体操作步骤参见恢复/下载隔离文件

      • 清除病毒木马的持久化驻留项:针对 Crontab、恶意下载源等持久化方式推出专项分析清除能力,同时引入 AI 智能学习能力,不断提升安全对抗能力,实现小时级的快速响应处置能力。

    • 修复方式

      • 自动创建快照并修复(推荐):通过创建快照备份数据,以便深度查杀误删数据时,可以通过快照恢复被清除数据。

        重要

        创建快照将产生一定费用,费用由快照产品收取,默认采用按量付费(后付费)模式,例如40GB系统盘,快照存储一天的费用大约是0.15元 ,详细说明请参见快照计费

      • 不建立快照备份直接修复

    后续处理

    定期审查隔离区:30天内确认文件性质,避免误删后无法恢复。如何查看隔离区文件请参见恢复/下载隔离文件

    加白名单

    警告

    加白名单后,不会再生成相同告警数据,请谨慎选择。

    适用场景

    通过验证文件属性、业务是否依赖文件等手段,判定当前告警为误报。

    处理说明

    • 当前告警状态更新为手动加白。​

    • 当相同告警再次发生,不会再生成新的告警数据,但会更新本次告警的最新发生时间。

      什么是相同告警?

      相同告警是指告警特征高度一致的安全威胁。例如:

      • 病毒类的告警:相同的资产+相同的病毒文件路径+相同的病毒文件MD5。

      • 异常登录:相同的资产+相同的登录IP。

    忽略

    重要
    • “忽略”仅是一种告警状态管理操作,它本身并不解决触发告警的根本安全问题。

    • 务必在充分确认是误报或已知/接受风险后才使用,避免掩盖真实的攻击。

    适用场景

    • 确认为误报或优先级较低。

    • 临时性/已知问题: 告警指向的问题确实存在,但属于已知且已接受的风险,或者是一个临时性、非恶意的状态(例如,内部授权的渗透测试活动、特定维护窗口期的异常行为),并且您暂时不打算或无法立即修复根本原因,但需要清理当前告警列表。

    • 测试或调试环境: 在非生产环境(如开发、测试环境)中,频繁出现预期内的、不影响安全的告警,干扰正常监控,需要暂时屏蔽。

    处理说明

    • 本次告警状态更新为已忽略。​

    • 当相同告警再次发生时,云安全中心将再次告警。

    加白名单忽略的区别

    差异点

    加白

    忽略

    适用场景

    永久性例外问题

    适用于临时性、偶发性的误报或已知问题。

    影响范围

    后续相同告警将不再进行通知。

    仅针对当前告警进行处理,对后续告警无影响。

    我已手工处理

    如果您已手动处理当前病毒告警,请选择我已手工处理,当前告警状态将更新为已处理

  6. 单击下一步

    系统开始处理告警。处理完成后,您可以查看处理结果和告警状态。

    重要

    若处理失败,可尝试手动删除病毒文件。

步骤三(可选):安全加固与攻击预防

处理完病毒后,为防止再次受到病毒攻击,建议进行服务器安全加固和开启恶意主机行为防御

开启恶意主机行为防御

在使用云安全中心病毒查杀功能时,建议您同时开启恶意主机行为防御功能。具体操作,请参见恶意主机行为防御

恶意主机行为防御主要防御能力:会自动拦截主流木马病毒、勒索软件、挖矿病毒、DDoS木马等威胁,阻断其恶意行为。

服务器安全加固

为防范服务器后续再次遭受病毒攻击,建议对服务器实施必要的加固措施,以此加大攻击者的入侵代价,提高其突破防御的门槛。

  • 升级云安全中心版本

    企业版和旗舰版支持病毒自动隔离(即病毒自动查杀)功能为您提供精准防御能力,目前已支持主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等类型,支持的安全检测项也更多。

  • 设置服务器安全组

    常见的安全组设置如下若是阿里云 ECS服务器可参见管理安全组进行操作。

    • 只允许指定的IP地址进行3389(远程桌面)、22(SSH)登录,避免服务器管理端口被黑客扫描或爆破。

    • 在安全组中,只放行必要的业务端口(例如80、443),其他无关端口不要放行。

    • 对于数据库端口(例如1433、3306、6379等),应设置为只允许指定的IP来连接,如无必要,建议不要对外开放。

  • 设置复杂服务器密码

    服务器密码设置尽量复杂,不要过于简单(包含大小写字母+数字+特殊符号,密码长度至少8位以上) 。

  • 升级软件

    应用软件要经常升级到新版本,不要用老版本的软件。

  • 创建磁盘快照

    定期对重要服务器做磁盘快照。这样当出现数据丢失、误删数据、数据被黑客篡改(比如勒索病毒)等意外事件时,可以通过磁盘快照恢复您的数据。 若是阿里云 ECS服务器可参见创建自动快照策略进行操作。

  • 及时修复漏洞

    可使用云安全中心漏洞修复工鞥及时修补系统高危漏洞和应用漏洞(注意:修补漏洞前先做快照备份)。

  • 更多安全防护建议,请您查看文档操作系统安全加固

常见病毒告警处理实践教程

更多操作

恢复/下载隔离文件

云安全中心会将病毒文件隔离至文件隔离箱中,若需要还原和下载,可参考如下步骤:

重要

被成功隔离的文件在30天内可进行一键恢复,过期系统将自动清除。

  1. 单击病毒查杀页面右上角的文件隔离箱

  2. 根据主机及文件路径定位到目标文件,单击操作列的恢复下载

设置告警通知

可以在系统设置 > 通知设置页面配置告警通知等级和通知方式进行灵活配置。

此举可确保服务器遭受病毒威胁时,相关告警能按预设机制及时触发并送达,以便管理人员迅速响应与处置,从而有效应对潜在风险。具体操作,请参见通知设置

image.png

常见问题

病毒查杀和安全告警有什么区别?

重要

病毒查杀功能扫描出来的告警信息,会同步至安全告警功能模块中。

  • 若在安全告警中处理了相关病毒告警,会同步处理状态至病毒查杀,无需重复处理,具体操作可参见查看和处理安全告警

  • 相反若在病毒查杀模块处理了病毒告警,也会同步处理状态至安全告警,无需重复处理。

差异点

病毒查杀

安全告警

检测类型

是针对勒索病毒、挖矿程序等顽固病毒提供的深度扫描服务。

  • 不仅检测服务器病毒威胁,还支持检测异常网络连接、异常登录、容器威胁等。

  • 同时支持云产品中存在的威胁,如可疑的删除ECS安全组规则行为。

版本要求

防病毒版、高级版、企业版和旗舰版。

说明

以上版本支持扫描的病毒类型和扫描项相同。

免费版、防病毒版、高级版、企业版和旗舰版。

说明

免费版仅支持自变异木马、DDoS木马、挖矿程序检测,更多信息请参见安全告警特性

病毒处理后又复发(反复感染同一种病毒)怎么办?

病毒处理后复发可能原因如下:

  • 弱口令: SSH/RDP/数据库密码过于简单。

  • 漏洞未修复: Redis, XXL-JOB, WebLogic等应用存在高危漏洞。

  • 后门潜伏: 初次清理不彻底,留下了隐藏的后门。

  • 数据污染: 恢复了带有病毒的备份/快照。

处理方案:

  • 可参照步骤三(可选):安全加固与攻击预防进行安全加固。

  • 另外建议完成病毒处理后,备份数据后重启服务器及应用。

    警告
    • 重启服务器会造成服务短暂中断,在此期间依赖该服务器运行的网站、应用程序等将无法正常访问,可能影响用户体验或业务流程的连续性,请在业务低峰期操作。

    • 部分部署在服务器上的应用因未配置自动启动机制或依赖特定环境变量,通常需要手动重新启动,否则会导致应用服务不可用。例如特定版本的消息队列,请提前评估重启方案。

如何取消加白(白名单)?

病毒查杀模块暂不支持取消加白,可前往检测响应 > 安全告警,在已处理的告警列表中执行取消加白操作,具体操作可参见查看和处理安全告警

说明

若您购买了威胁分析与响应(CTDR)服务,请在左侧导航栏,选择威胁分析与响应 > 安全告警

扫描超时怎么办?

设置扫描范围为自定义目录扫描功能,分小目录进行扫描,特别关注/tmp, /var/tmp, /root等高危目录。

处理失败怎么办?

刷新页面后重试。若仍失败,可点击“已手工处理”,然后尝试手动删除文件。如果文件无法删除(Operation not permitted),说明可能被加了i权限,提供解锁命令chattr -i <file>

告警显示文件不存在怎么办?

这可能是因为病毒已被其他方式清除或病毒自身清理了痕迹,可在告警列表中点击“忽略”或“已手工处理”来清除此条告警。

如何处理成多条告警(批量处理告警)?

  • 防护配置 > 主机防护 > 病毒查杀模块扫描出的病毒类告警支持批量处理。

    1. 进入病毒查杀列表页,选择需要处理的告警,单击左侧多选框。

    2. 单击左下角批量处理按钮,选择合适的处理方式即可。

  • 检测响应 > 安全告警模块仅支持批量加白、批量忽略的处理方式来处理告警。

    1. 进入安全告警列表,选择需要处理的告警,单击左侧多选框。

    2. 单击左下角忽略本次加白名单按钮即可。

病毒库版本在哪里看?

在总览页面查看病毒库更新时间,云端病毒库是自动实时更新的,用户无需手动操作。

image

能否安装第三方杀毒软件(360/火绒)?

可以,但需注意可能存在的兼容性问题。建议将云安全中心客户端(Agent)的核心进程和目录(提供路径)加入第三方软件的白名单,以防被误杀。