当您需要检测存储在某个Bucket内的数据是否存在WebShell文件、勒索病毒、木马等恶意文件的风险时,您可以通过OSS的恶意文件检测功能识别风险数据。如果检测到恶意文件,您可以根据事件说明中的处置建议及时处理该文件。
支持检测的病毒类型
病毒类型(virus_type) | 病毒名称 |
Backdoor | 反弹Shell后门 |
DDoS | DDoS木马 |
Downloader | 下载器木马 |
Engtest | 引擎测试程序 |
Hacktool | 黑客工具 |
Trojan | 高危程序 |
Malbaseware | 被污染的基础软件 |
MalScript | 恶意脚本 |
Malware | 恶意程序 |
Miner | 挖矿程序 |
Proxytool | 代理工具 |
RansomWare | 勒索病毒 |
RiskWare | 风险软件 |
Rootkit | Rootkit |
Stealer | 窃密工具 |
Scanner | 扫描器 |
Suspicious | 可疑程序 |
Virus | 感染型病毒 |
WebShell | 网站后门 |
Worm | 蠕虫病毒 |
AdWare | 广告程序 |
Patcher | 破解程序 |
Gametool | 私服工具 |
前提条件
RAM用户必须拥有oss:ActivateProduct
权限。具体操作,请参见RAM Policy常见示例。
费用说明
按恶意文件的检测次数进行计费,计费标准为10元/万次。
恶意文件检测涉及调用的API接口包括ListBuckets(GetService)、GetBucketStat、ListObjectsV2(GetBucketV2)、GetObjectMeta、GetObject,OSS会根据调用的API次数收取请求费用。更多信息,请参见请求费用。
仅支持按量付费,按小时计费(账单出账时间通常在当前计费周期结束后,具体出账时间以系统为准)。
使用限制
地域限制
华东1(杭州)、华北 3(张家口)、华南1(深圳)、华南3(广州)、中国香港地域支持配置恶意文件检测规则。
检测任务完成时间
默认情况下,不限制Bucket内的文件检测数量,按照异步排队的方式进行检测。当异步排队任务不多时,十万级别数量的文件检测任务可在1小时内完成,百万级数量的文件检测任务可在24小时内完成。
Bucket存储类型
仅标准存储、低频访问类型的Bucket支持配置恶意文件检测规则。归档、冷归档以及深度冷归档类型的Bucket不支持配置恶意文件检测规则。
Object存储类型
仅标准存储、低频访问类型的Object支持配置恶意文件检测规则。归档、冷归档以及深度冷归档类型的Object不支持配置恶意文件检测规则。
单个文件大小限制
最大支持检测的单个文件大小为100 MB。
压缩包限制
支持检测的压缩包文件类型包括
.7z
、.zip
、.tar
、.gz
、.rar
、.ar
、.bz2
、.xz
和.lzma
。一个压缩包支持解压的层级最多为5层,解压后的文件总个数最多为1,000个,解压后的所有文件总大小最多为1 GB。对于超出限制范围的文件,不会被检测。
使用OSS控制台
首次检查Bucket中的恶意文件时,需要完成AliyunServiceRoleForOssMfd角色的授权。
登录OSS管理控制台。
单击Bucket 列表,然后单击目标Bucket名称。
在左侧导航栏,选择
。在恶意文件检测页面,单击立即开通,然后按页面指引领取恶意文件检测免费试用额度,超出免费试用额度部分将采用按量付费。
在恶意文件检测页面,单击确认授权。
授权完成后,后台会为该角色自动生成权限策略AliyunServiceRolePolicyForOssMfd。该权限策略包含读取Bucket列表和Object列表、访问KMS以及对Object解密的权限。
配置恶意文件检测规则。
立即执行检测规则
全量检测
全量文件检测可以更全面地检查OSS某个Bucket中的数据是否存在安全风险,确保文件内容符合法规要求。
在恶意文件检测页面右上角,单击检测。
在弹出的检测对话框,选择文件检测类型和扫描路径。
文件检测类型
您可以选择检测整个Bucket内的全部文件类型或者指定文件类型。
扫描路径
如果您需要检测Bucket内的所有文件时,需选择配置到整个Bucket。如果您希望仅检测与指定前缀匹配的文件,需选择按前缀匹配,并指定需要匹配的前缀。
单击确定。
增量检测
对某个Bucket或者Bucket下某个路径下的数据完成全量检测后,可以考虑采用增量文件检测,即只对新增或变动的文件进行检测,以节省计算资源和时间。
在恶意文件检测页面右上角,单击增量检测。
在弹出的检测对话框,选择文件检测类型和扫描路径。
文件检测类型
您可以选择检测整个Bucket内的全部文件类型或者指定文件类型。
扫描路径
如果您需要检测Bucket内的所有文件时,需选择配置到整个Bucket。如果您希望仅检测与指定前缀匹配的文件,需选择按前缀匹配,并指定需要匹配的前缀。
单击确定。
自定义检测规则执行时间
在Bucket基础信息区域,单击策略配置状态右侧的。
在策略创建对话框,按以下说明完成相关配置。
配置项
说明
策略名称
自定义策略名称。
策略启用状态
启用策略。
扫描路径
按前缀匹配
仅在需要扫描Bucket中与指定前缀匹配的文件时,选择此项。然后,您需要指定匹配前缀,例如dir。
配置到整个Bucket
当您需要扫描整个Bucket内的文件时,选择此项。
检测周期
自定义文件检测周期,支持选择多项。例如每周一、每周二执行检测。
文件检测时间
指定文件检测的起始和结束时间,精确到秒。
文件检测类型
选择检测全部文件类型或者指定文件类型。选择指定文件类型时,您需要下拉选择具体的类型,例如以.7z为后缀的文件。
单击确定。
查看检测结果。
如果检测到不存在风险文件,则风险文件详情区域不显示任何检测结果。
如果检测到存在风险文件,您可以在风险文件详情区域,查看存在风险的文件名称、威胁标签、文件MD5、风险等级,以及首次发现时间和最新扫描时间。
处理风险文件。
您可以单击风险文件右侧操作列下的详情,查看风险文件的事件说明,结合事件说明中提供的处置意见及时处理风险文件。