主机防护常见问题

更新时间:
复制 MD 格式

本文汇总了云安全中心主机防护相关功能(防勒索、文件防篡改、病毒查杀、通用主机防护)的常见问题及解决方案。

常见问题

防勒索

  • 防勒索是什么功能?为什么要单独付费?

    防勒索是云安全中心针对勒索病毒提供的安全防护功能,支持一键恢复被勒索病毒加密的文件,一键开启服务器关键目录及文件的备份保护。更多内容请参见防勒索防护策略、购买防勒索容量。

  • 云安全中心防勒索功能和阿里云云备份(Cloud Backup)有什么关系?

    防勒索功能使用阿里云云备份Cloud Backup)服务提供的存储能力。如果此前未开通过云备份,购买防勒索容量并完成云产品授权后会自动启用云备份,启用云备份不会产生额外费用。

  • 购买防勒索容量后数据备份会自动启动吗?

    不会。购买防勒索容量后,需要先创建并开启防护策略,云安全中心才会启动数据备份。如何创建防护策略,请参见管理防勒索防护策略。

  • 如何查看已购买的防勒索容量和防勒索容量的使用情况?

    开通防勒索服务后,查看已购买容量及使用情况的步骤如下:

    1. 登录云安全中心控制台

    2. 在左侧导航栏,选择防护配置 > 主机防护 > 防勒索。在控制台左上角,选择需防护资产所在的区域:中国内地非中国内地

    3. 防勒索页面,查看使用容量占比。

  • 防勒索备份缓存占用磁盘空间较大,如何清理?

    防勒索功能备份数据时,为提升备份的速度,默认会占用服务器磁盘空间作缓存。发现C:\Program Files (x86)\Alibaba\Aegis\hbr\cache( Windows )或/usr/local/aegis/hbr/cache( Linux )路径下占用磁盘空间较大时,可直接清理该路径下的缓存文件。具体操作,请参见清理磁盘空间。

  • 防勒索备份缓存数据占用了服务器过多的 C 盘空间,我能修改缓存数据的位置吗?

    可以。修改防勒索备份客户端的配置文件即可更改缓存数据位置。具体操作,请参见修改备份缓存的位置、状态及占用系统内存空间的上限。

  • 防勒索客户端占用服务器 CPU 或内存资源过多怎么办?

    早期版本的防勒索客户端在备份数据时可能占用较多 CPU 或内存资源, 2.19.6 及以上版本已修复该问题。当前客户端版本低于 2.19.6 时,建议卸载后重新安装最新版本。操作步骤如下:

    1. 登录云安全中心控制台在左侧导航栏,选择防护配置 > 主机防护 > 防勒索。在控制台左上角,选择需防护资产所在的区域:中国内地非中国内地

    2. 服务器防勒索页签,定位到需修复该问题的服务器,在操作列单击卸载,并在确认提示框中单击确定

      该服务器的防勒索客户端状态将变更为客户端卸载中。卸载大约需要 5 分钟,请耐心等待。

    3. 卸载完成后,在服务器的操作列单击安装,并在确认提示框中单击确定

      该服务器的防勒索客户端状态将变更为安装中。安装大约需要 5 分钟,请耐心等待。

    如更新后问题仍未解决,请参考防勒索客户端异常排查中说明,获取处理方案。

  • 防勒索解决方案(企业版+防勒索)和快照备份有什么区别?

    快照备份和防勒索解决方案的主要区别如下:

    功能

    数据备份

    病毒防御能力

    费用

    快照

    一次性备份整个系统盘,恢复数据时需要重启系统。

    无病毒防御能力。

    费用较高。快照必须备份整个磁盘空间,不支持选择需要打快照的文件。快照按照0.12 元/GB/月收费。更多信息,请参见快照计费说明。

    防勒索解决方案

    支持文件级别的多版本、灵活备份,可恢复已备份的任意版本。恢复数据时无需重启系统。

    支持已知勒索病毒的实时拦截和告警,诱捕未知勒索病毒,可一键恢复被勒索病毒加密的数据。

    费用较低。防勒索支持文件级别的防护,按照实际使用量收取数据备份费用,无需承担整个磁盘的备份费用。更多信息,请参见防勒索计费说明。

  • 已购买的防勒索容量不够用怎么办?

    防勒索容量不足会导致服务器数据备份失败,可通过扩容或释放防勒索容量来解决。

    • 扩容防勒索容量

      登录云安全中心控制台在左侧导航栏,选择防护配置 > 主机防护 > 防勒索。在控制台左上角,选择需防护资产所在的区域:中国内地非中国内地防勒索页面,单击已使用容量/总容量下的升级,扩容防勒索容量。

      说明

      建议每台服务器配置 50 GB 的数据防护容量。

    • 释放防勒索容量

      • 减少服务器

        删除防护策略下的非生产状态服务器(如测试服务器、闲置服务器等),可节约防勒索容量。具体操作,请参见修改防护策略。

      • 减少防护目录

        创建防护策略时,选择自定义策略,备份指定目录以节约防勒索容量。具体操作,请参见创建防护策略。

      • 删除历史备份数据

        某个服务器上的历史备份数据已无保留必要时,可删除该服务器已备份的历史数据来释放防勒索容量。具体操作,请参见删除已备份数据。

  • 防护策略为异常状态怎么办?

    防护策略异常时无法正常备份服务器数据。建议在防勒索页面排查异常原因,按照界面提示处理。常见原因及解决方案如下:

    • 防勒索容量不足

      已使用容量超过总容量时,正在执行的备份任务会暂停,也无法创建新的备份任务。需购买足够的防勒索容量才能继续使用。更多信息,请参见扩容防勒索容量。

    • 客户端离线

      服务器 Agent(客户端插件)离线也会造成防护策略异常,需排查 Agent 离线状态的原因并处理。更多信息,请参见Agent 离线排查。

    • 数据备份异常

      备份任务备份路径错误或服务器磁盘空间不足将导致备份任务执行失败。需重新创建备份任务,填写正确的备份路径并确保服务器磁盘空间充足。新创建的备份任务执行成功后,防护策略状态才会变为正常

  • 关闭防勒索功能后,服务器中为何仍存在 .aeqis 或 .zaegis 文件夹?

    这些文件夹是云安全中心防勒索功能部署的安全诱饵文件,用于主动诱导勒索病毒访问以检测并拦截。即使在控制台关闭了防勒索策略,由主机防护模块( AliHips )管理的常驻安全组件仍会保留这些文件,属于正常现象,无需手动删除,也不会产生额外费用。

  • 云安全中心防勒索服务是否承诺中毒包赔?

    云安全中心防勒索服务不直接承诺“中毒包赔”。服务器中毒由多方因素导致,并非主机或云安全中心本身直接导致。具体的责任界定和服务保障,请参见服务等级协议(SLA)。

  • 未开启公网访问的内网服务器是否有必要配置防勒索防护?

    建议即使没有公网 IP 也开启防勒索防护。原因如下:

    • 内网服务器仍可能通过横向移动、内部人员误操作或供应链攻击等方式面临勒索风险。

    • 云安全中心的防勒索功能可备份和防护关键目录,提升整体安全水位。

  • 未产生告警时如何确认服务器是否被勒索?

    建议按以下步骤排查:

    1. 登录云安全中心控制台,在检测响应 > 告警Agentic SOC > 告警页面检查是否存在恶意进程、勒索病毒或异常登录告警。

    2. 未收到告警时,建议联系技术支持人员进入服务器内部,检查数据库表是否有未知信息异常、文件是否被篡改或出现异常加密后缀。

    3. 业务可正常打开且未发现上述痕迹时,通常表明未被勒索。

    4. 建议配置服务器快照策略,定期备份数据以保障数据安全。

文件防篡改

  • 云安全中心版本服务与文件防篡改(原网页防篡改)的有效期能不一致吗?

    包年包月实例中,所有功能服务模块(包括文件防篡改)有效期保持一致,无法单独购买不同服务周期的包年包月服务。

    建议方案:先在降配页面,退订文件防篡改包年包月服务,再开通文件防篡改按量付费服务。更多内容请参见按量付费转换。

  • 文件防篡改规则启动时,提示“防护模块初始化失败,请检查是否存在其他软件对创建服务进行了拦截管控”?

    此报错通常表示云安全中心防篡改程序被服务器中的其他安全软件拦截。建议在服务器的安全软件中将云安全中心 Agent 进程加入白名单,或者关闭安全软件中驱动服务创建的拦截功能。

  • 文件防篡改本地备份目录有什么要求?

    • 单条规则中防护路径和进程路径各最多配置100个。

    • 单个防护路径长度限制为1~128个英文字符。

    • 被防护文件或目录的完整路径不超过1,000个英文字符或500个中文字符。

    • 如果防护目录被设置为 NFS server 的进程路径,则无法防御通过 NFS client 访问修改该路径下文件的攻击行为。

  • 配置防篡改目录提示路径错误

    配置 Windows 防护目录时不可以使用正斜线(/),需要使用反斜线(\),例如C:\Program Files\Common Files

    说明

    防护目录路径中不可以输入以下字符: /;*?""<>|

  • 为什么配置了防护目录后文件防篡改还是失效?

    配置防护目录后,还需开启防护状态开关,并确保客户端正常运行。建议排查以下问题:

    • 需要防护的文件是否已添加到防护目录。

    • 防护规则配置完成后,是否已开启防护状态开关。

    • 客户端是否正常在线:

      1. 登录云安全中心控制台,在防护配置 > 主机防护 > 文件防篡改页面的防护管理页签,查看目标服务器的服务状态。

      2. 服务状态显示为异常时,建议重试;服务器状态为离线时,建议为该服务器重新安装 Agent 。更多信息请参见安装 Agent。

    • 服务器的磁盘空间是否足够。不足时请及时清理。

  • 配置了防护目录后还可以对该防护目录写入文件吗?

    不可以。完成防护目录配置后,无法再对该目录写入文件。

    后续需再对该防护目录写入文件时,请参考临时关闭防篡改。

  • 配置了防护目录后防篡改未立即生效该怎么办?

    配置防护目录后防篡改未立即生效,仍然可以写入文件时,需在防护管理列表中对该目录所在的服务器关闭防护状态开关,然后重新打开防护状态开关。

  • 为什么开启了防篡改, SSH 登录并修改了受保护的文件,未收到告警?

    为服务器开启了防篡改防护,并将需要防护的文件目录添加到防护目录中,但通过 SSH 登录服务器修改防护目录中的文件后,在云安全中心控制台文件防篡改页面未收到文件改动的告警信息,可能是以下原因:

    • 防护状态开关未开启。

    • 防护状态开关已开启后修改了防护目录配置,但修改完成后未重启防护状态开关。

    • 该文件已添加到了白名单中。

      防篡改白名单中的文件默认可信,防篡改功能不会告警或拦截白名单文件的修改。相关内容,请参见加入白名单。

    • 该服务器内核不在防篡改支持的范围内。

      服务器防护目录中的文件修改时,防篡改功能会直接拦截该文件改动,不告警。

      说明

      在服务器中修改文件并保存后,返回云安全中心控制台文件防篡改页面时,可以看到已处理列表中该文件已被防篡改功能拦截。回到服务器中查看该文件,会发现之前的修改未保存成功。

  • 配置防篡改后无法修改网站的内容和图片该怎么办?

    可选择以下任意一种解决方案:

    • 先关闭防篡改功能,更新网站内容后再重新开启防篡改。开启操作请参见开启防篡改防护。

    • 将需要修改的网站路径排除在防篡改目录外。

    说明

    文件防篡改支持将 Linux 和 Windows 服务器进程加入白名单,实现网站防护文件实时更新。更多信息,请参见加入白名单。

  • 为什么关闭或修改防篡改规则后,文件操作仍被拦截或告警?

    可能原因如下:

    1. 规则生效存在延迟:首次配置最长 5 分钟生效,修改规则最长 1 分钟生效。建议等待规则生效后再测试。

    2. 规则优先级冲突:存在更高优先级的拦截规则未被覆盖时,操作仍会被拦截。

    3. 建议配置放行规则:如需放行合法进程(如发布进程),建议配置放行规则。放行规则的优先级高于拦截和告警规则。

  • 为什么控制台显示的防篡改告警数量与邮件通知不一致?

    请检查云安全中心控制台左上角的地域设置,确保与告警邮件中资产所在的地域一致。切换至正确地域后,即可查看对应的文件防篡改告警信息。

  • 没有收到防篡改告警是否代表文件安全?

    规则配置未变动且告警列表中无相关记录时,表示文件暂时未被篡改或处于安全状态;出现告警时则代表检测到异常操作。

  • 版本升级后会自动生成防篡改规则吗?

    不会。云安全中心文件防篡改规则均需用户手动配置,系统不会在版本升级后自动生成规则。

病毒与恶意软件防御

  • 收到短信或邮件提示存在网站后门该怎么办?

    收到邮件或短信提示服务器存在网站后门,说明服务器已被黑客入侵并上传了后门文件。此时黑客可以操作网站或数据库数据,可通过云安全中心隔离该后门文件,但还需进一步排查具体入侵原因,否则黑客仍会通过同一漏洞再次入侵。

    如需排查具体漏洞,可购买安全管家服务进一步咨询。

  • 为什么云安全中心提示有挖矿病毒,但病毒查杀扫描未发现?

    可能原因如下:

    1. 文件已删除:病毒文件可能已被其他安全软件清理、用户手动删除或病毒已自动删除,导致查杀时文件不存在。建议观察或手动标记已手工处理忽略

    2. 内存/隐蔽进程:部分恶意进程仅在内存中运行或未持久化落地,常规文件扫描可能遗漏。建议在扫描时开启内存检测,或使用深度查杀功能。

    3. 误报排查:如 PaddleOCR 等合法程序被误报,确认无恶意网络建联行为时,可视为误报,选择加白名单忽略

    4. 告警滞后:历史告警可能未随文件删除自动消除,需手动重新扫描来更新状态。

  • 本地杀毒软件(如 360 )报毒但云安全中心无告警,或云安全中心报毒但本地无文件怎么办?

    1. 本地报毒但云安全中心无告警:可能是本地软件误报或云安全中心判定为低风险/白名单。建议确认文件来源安全性,确认为自有应用时,可在云安全中心忽略或联系软件提供商核实。

      说明

      第三方杀毒软件可能与云安全中心 Agent 冲突,建议将 Agent 目录加入本地杀毒软件白名单。

    2. 云安全中心报毒但本地无文件:文件可能位于回收站(如 $Recycle.Bin)且已被清空,或被其他工具删除。建议使用云安全中心病毒查杀执行全盘扫描以同步状态,扫描无果时可标记已手工处理忽略

  • 病毒查杀过程中对业务性能及 Java 进程有影响吗?

    1. 资源占用:病毒查杀仅占用少量系统 CPU 和 IO 资源,对正常业务影响极小。

    2. 处理机制:扫描发现病毒后,默认仅产生告警,不会主动中断业务进程或删除文件,除非用户手动执行深度查杀隔离

    3. 建议:担心影响高负载业务时,建议在业务低峰期执行扫描,或关闭内存检测选项以减少资源消耗。对于 Java 等关键进程,查杀过程不会直接杀死进程,除非该进程被确认为恶意病毒且用户选择了查杀操作。

  • 如何处理连接恶意地址的告警?

    建议按以下步骤处理:

    1. 检查 Agent:首先确认云安全中心 Agent(客户端插件)是否在线,离线时需重新安装或启动。

    2. 病毒查杀: Agent 在线后,进入病毒查杀页面手动启动查杀任务,检测是否存在发起恶意连接的木马或后门文件。

    3. 网络排查:结合安全组和网络日志,排查是否有异常外联行为,必要时阻断可疑 IP 。

主机防护通用

  • 云安全中心是否会主动清理系统文件(如 /dev/shm )或提供符号链接检查工具?

    云安全中心不会主动清除 /dev/shm 等目录下的文件。云安全中心的核心功能是检测威胁和拦截恶意行为,不包含系统级文件清理机制。

    当前云安全中心没有提供快速检查并取消 Windows 系统中符号链接的工具。建议手动检查磁盘空间、 Windows Defender 状态或更新补丁后扫描验证。

  • 自助申请解封时提示“权限校验失败”或“不支持解封”怎么办?

    自助解封入口:自助解封页面

    请注意以下限制:

    • 自助解封仅能申请 1 次。再次被检测出挖矿行为时,将被再次封停且无法再次自助解封。

    • 建议尽快修复安全隐患(如弱口令、病毒),或备份数据后重装系统。

  • 云安全中心是否支持查看 ECS 实例的具体登录方式(账号密码/密钥)及详细来源?

    云安全中心不支持直接查看具体的登录方式及详细来源溯源,仅能检测异常登录行为。

  • 关闭云安全中心防护服务是否影响云服务器正常运行?

    关闭云安全中心防护服务不会影响云服务器的正常运行。云安全中心是主机防护软件,用于提升安全性,与服务器是否卡顿或正常运行无直接关联。不购买该服务时,需自行做好服务器加固(如使用无漏洞版本软件、设置强密码等)。

  • 云安全中心控制台红色提示(待处理事项/防勒索配额)对业务运行有影响吗?

    • 待处理事项(如未修复漏洞、基线风险):不处理时会增加被攻击风险,但不影响服务器正常运行。

    • 防勒索配额使用率接近上限:可能导致新备份失败,影响数据恢复能力,但不影响现有业务运行。

    建议:虽然红色提示不直接阻断业务,但为了保障长期稳定和数据安全,建议及时查看具体告警详情,尽快处理漏洞风险或扩容防勒索配额。

  • 云安全中心是否提供病毒库详细的历史更新记录?

    云安全中心对外仅提供病毒库版本更新时间,不提供病毒库详细的更新记录。

  • 云安全中心告警异常登录,但 Windows 系统日志中无对应记录的原因是什么?

    可能原因如下:

    1. 日志采集延迟或丢失:日志传输过程中可能存在延迟。

    2. 本地日志被覆盖:本地日志因大小限制(如设置为 20 MB )被覆盖,导致历史记录无法查看。

    3. 非交互式登录:非交互式登录(如后台服务或计划任务触发)不会在常规事件查看器中显示为典型的 4624 交互式登录事件,但会被云安全中心捕获。

  • 云安全中心内存使用率告警与云监控剩余内存占用率告警有什么区别?

    云安全中心检测的是内存使用率的报警规则,而云监控中配置的是剩余内存占用率的告警规则。两者检测项目和指标不同,因此可能出现告警不一致的情况。

客户端与权限

云安全中心客户端、云助手客户端、防勒索客户端之间有何区别?

客户端

说明

云安全中心客户端

云安全中心客户端将实时向云安全中心服务器端上报数据。

云助手客户端

云助手是专为云服务器ECS设计的原生自动化运维工具。它通过免密码、免登录以及无需使用跳板机的方式,在ECS实例上实现批量运维、命令执行(包括Shell、PowershellBat)及文件传输等操作。典型的使用场景包括软件的安装与卸载、服务的启动与停止、配置文件的分发以及一般命令(或脚本)的执行等。云助手客户端作为轻量级插件安装在ECS实例中,所有在实例中执行的命令均通过该客户端完成。

防勒索客户端

本质是混合云备份服务的客户端。