本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
云安全中心的恶意文件SDK在云服务器ECS或对象存储OSS中检测到风险文件(如Webshell、挖矿程序、病毒木马)时,会生成告警。本文档将指导您如何快速评估风险、选择并执行最合适的处理方式,并最终完成安全加固,形成应急响应闭环。
选择处理方式
恶意文件检测SDK服务提供多种处理方式来处理检测出的恶意文件,请根据业务场景选择合适的处理方式。
处理方式 | 效果持久性 | 对后续检测的影响 | 适用场景 |
加白名单 | 永久 | 符合加白规则的文件,将自动标记为已加白且不再发送钉钉机器人通知。 | 确认是业务所需文件,为永久放行的业务文件。 |
忽略 | 仅本次 | 无影响。 | 临时性或低优先级告警,或不确定是否为误报,需要后续分析的场景。 |
禁止访问 | 永久 | 当前文件不再检测。 | 为OSS文件且确认是恶意文件,需立即隔离,阻止其被访问。 |
我已手工处理 | 仅本次 | 无影响。 | 已通过其他手段(如登录服务器手动删除文件)处理了风险。 |
调查与评估风险
访问云安全中心控制台-风险治理-恶意文件SDK,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
进入文件详情页面
风险文件总览页签:单击目标文件操作列的详情按钮。
OSS文件检测页签:
将是否有风险筛选条件设置为有风险,单击目标Bucket操作列的详情按钮。
在详情页列表的风险文件详情区域,单击目标文件操作列的详情按钮。
评估业务影响
重点关注文件路径、关联进程、首次发现时间等信息,并结合以下方法进行综合判断:
确认文件归属:联系开发或运维人员,确认该文件是否为业务正常文件、测试文件或已知无用文件。
追溯文件来源:检查文件所处的目录环境。如文件位于开源应用(如WordPress)目录下,检查应用是否存在已知漏洞,该文件是否为漏洞利用所产生的后门。
参考官方建议:在详情页事件说明区域,查看系统给出的分析结论和处理指导。
执行处理操作
可以通过云安全中心控制台直接处置检测出的恶意文件,也可以参考详情页提供的处置建议,手动处理相关文件。下文将介绍如何通过控制台完成恶意文件的处理操作。
处理步骤
进入处理页面
风险文件总览页签:将筛选条件设置为未处理,单击目标文件操作列的处理按钮。
OSS文件检测页签:
将是否有风险筛选条件设置为有风险,单击目标Bucket操作列的详情按钮。
在详情页列表的风险文件详情区域,单击目标文件操作列的处理按钮。
处理风险文件
配置处理方式
在恶意脚本处理弹窗,根据对风险文件的影响评估结果,选择合适的处理方式后并配置相关处理规则。更多信息,请参见处理方式详解。
配置批量处理(可选)
如需同时处理多个相似告警,可以勾选同时处理相同告警。
在基于相同文件内容或基于相同告警类型页签,单击展开按钮,查看相同的告警详情,
根据业务场景和相同告警信息,确定需同时处理的告警。
基于相同文件内容:文件SHA256完全一致的所有告警。
基于相同告警类型:由同一检测引擎发现的同类风险(如“Webshell”)的所有告警。
处理方式详解
加白名单
设置加白规则
在加白名单页签,单击+新增规则新增一条规则。
配置规则详情
重要设置多条规则时,规则之间为“OR”关系,满足任何一条即进行加白处理。
每一条规则从左到右共有4个配置框,说明如下:
文件信息字段:支持文件名称、文件MD5、SHA256、文件所在Bucket名称进行匹配。
条件类型:支持正则匹配、等于、包含等操作。配置示例如下:
正则表达式示例:要匹配所有以
.tmp结尾的临时文件。可选择文件信息字段为文件名称,条件类型为正则匹配,条件值为.*\.tmp$。文件名称匹配:要匹配所有包含
post文件名的临时文件。可选择文件信息字段为文件名称,条件类型为包含,条件值为post。
条件值:支持常量、正则表达式。
处理说明:
将当前文件状态标记为“已加白”。
该操作会生成一条白名单规则,可在控制台策略配置中查看和管理,具体操作,请参见管理白名单。
当符合加白规则的风险文件再次被检出时,该文件的状态将自动设置为已加白,且不再发送钉钉机器人风险通知。
安全建议
精确匹配:为避免误将真实恶意文件加入白名单,建议优先使用文件MD5或SHA256进行匹配。
全路径匹配:如果需要按文件名匹配,建议采用Bucket名称+文件名匹配,避免范围过大。
禁止访问
此方式仅支持处理OSS文件。
处理说明:
当前文件状态变更为禁止访问,后续相同内容的文件也将不再被检测。
为文件新增
mfd_forbidden标签和下方Bucket 授权策略,从而禁止文件被访问和操作。说明可前往OSS控制台查看,更多内容请参见恢复被禁止访问的文件、对象标签、Bucket Policy。
若已在OSS控制台删除文件,将不会添加标签和策略。
{ "Effect": "Deny", "Action": [ "oss:GetObject" ], "Principal": [ "*" ], "Resource": [ "acs:oss:*:*:${Bucket名称}/*" ], "Condition": { "StringEquals": { "oss:ExistingObjectTag/mfd_forbidden": [ "true" ] } } }
安全建议:
此操作可能导致依赖该文件的业务功能出现中断。在执行前,请务必确认该文件无任何正常业务依赖。
忽略
处理说明:
仅对本次告警标记为“已忽略”,仅是一种告警状态管理操作,它本身并不解决触发告警的根本安全问题。
安全建议:
务必在充分确认是误报或已知/接受风险后才使用,避免掩盖真实的攻击。
建议定期(例如每周或每月)查看“已忽略”状态的告警列表。
如需不再收到此类告警,请使用“加白名单”功能。
我已手工处理
处理说明:仅将本次检测出的文件状态更新为我已手工处理,不对文件实际安全状态进行任何验证。
安全建议:请确认当前文件已通过其他手段(如登录服务器手动删除文件)处理后,选择此方式。
管理处理结果
修改处理方式
访问云安全中心控制台-风险治理-恶意文件SDK,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
进入修改操作弹窗
找到目标文件
风险文件总览页签:将筛选条件设置为已处理的状态(如已加白)后,定位至需要处理的文件。
OSS文件检测页签:
将是否有风险筛选条件设置为有风险后,单击目标Bucket操作列的详情按钮。
在详情页列表的风险文件详情区域,将筛选条件设置为已处理的状态(如已加白)后,定位至需要处理的文件。
执行操作
单击目标文件操作列的修改状态按钮。
修改处理方式
在修改状态弹窗内,选择新的处理方式后并配置相关处理规则。操作说明,请参见处理风险文件。
重要支持重置为未处理状态。
撤销加白或忽略
方式一:状态重置
参考修改处理方式说明,修改处理方式为未处理。
方式二:执行“取消加白”和“取消忽略”操作
找到目标文件
风险文件总览页签:将筛选条件设置为已加白或已忽略后,定位至需要处理的文件。
OSS文件检测页签:
将是否有风险筛选条件设置为有风险后,单击目标Bucket操作列的详情按钮。
在详情页列表的风险文件详情区域,将文件状态筛选条件设置为已加白或已忽略,定位至需要处理的文件。
执行取消操作
勾选需要处理的文件名称后,单击列表左下方的取消加白或取消忽略。
恢复被禁止访问的文件
方式一:状态重置
参考修改处理方式说明,修改处理方式为未处理。
方式二:OSS控制台手动处理
登录OSS管理控制台,然后单击目标Bucket名称。
删除标签
在左侧导航栏,选择文件列表。单击目标文件操作列的
> 标签。在标签页,删除对应的
mfd_forbidden标签。
删除授权策略(慎选)
警告此操作会影响所有带有
mfd_forbidden标签的文件,非必要情况下,请勿操作。在左侧导航栏,选择。
在Bucket 授权策略页面的按语法策略添加页签,删除mfd_forbidden相关语法。
管理白名单
新增/修改规则
在页面右上角的策略管理的白名单管理页签,单击新增规则或目标规则操作列编辑按钮。
参照白名单规则详情完成配置后,单击确定。
删除规则
在页面右上角的策略管理的白名单管理页签,单击目标规则操作列删除按钮。
重要删除白名单规则后,已经加入白名单的文件状态不会改变,但后续符合该规则的文件将不会再自动加入白名单。