客户端进程说明

安装云安全中心客户端后,客户端会在服务器中开启AliYunDun、AliYunDunMonitor等进程,以实现信息采集、威胁检测等能力。您可以通过查看进程状态,判断安全防护能力是否生效。本文提供云安全中心客户端文件和进程的详细说明。

进程说明

云安全中心客户端的进程在Linux系统的服务器上以root账号运行,在Windows系统的服务器上以SYSTEM账号运行。下表介绍云安全中心客户端所包含的文件和进程。

重要
  • 建议不要在服务器中手动删除以下文件或进程,否则可能会导致云安全中心客户端异常。

  • 常驻进程是指安装云安全中心客户端后一直会存在的进程,只有这些进程启动,云安全中心才能正常防护服务器。非常驻进程是指只在特定情况或开启指定功能后才会启动的进程。

  • 如需删除客户端相关文件,请先关闭客户端自保护开关。自保护开关开启时,您将无法卸载云安全中心客户端或删除云安全中心客户端的任何进程文件。关闭客户端自保护的具体操作,请参见客户端自保护

客户端包含的文件

关联进程

为常驻进程

文件下载时间

文件所在路径

aegis_client

  • AliYunDun:用于与云安全中心服务端建立连接。

  • AliYunDunMonitor:用于主机安全监控与检测。

  • 安装云安全中心客户端插件后,aegis_client文件会下载到服务器中。

  • 开启客户端自保护开关后,AliSecGuard文件会下载到服务器中。关于客户端自保护的更多信息,请参见客户端自保护

  • Windows 32位系统:C:\Program Files\Alibaba\aegis

  • Windows 64位系统:C:\Program Files (x86)\Alibaba\aegis

  • Linux系统:/usr/local/aegis

aegis_update

AliYunDunUpdate:定期检测云安全中心客户端是否需要升级。

安装云安全中心客户端插件后,aegis_update文件会下载到服务器中。

AliSecCheck

AliSecCheck它能够动态检测挖矿病毒、木马和网站后门等威胁,提供基线检查、漏洞扫描、漏洞修复及资产指纹采集等功能。

说明

aegis_12_3x及后续版本云安全中心将AliSecureCheckAdvanced和AliDetect进程合并为AliSecCheck进程,而在aegis_12_3x以下版本中仍使用AliSecureCheckAdvanced和AliDetect。

否(免费版、防病毒版、高级版)

执行检查后,AliSecCheck文件会下载到服务器中。

AliSecCheckTmp

AliSecCheck(Detect插件)

是(企业版、旗舰版)

仅企业版或旗舰版用户安装云安全中心客户端插件后,将下载Detect插件到plugin目录下。

AliWebGuard

AliWebGuard:执行网页篡改防护和核心文件监控功能。

在为服务器开启网页防篡改或核心文件监控后,AliWebGuard文件会下载到服务器中。

AliHips

AliHips:执行病毒木马防护功能。

功能设置页面,开启恶意主机行为防御防勒索(诱饵捕获)网站后门连接防御任意一个开关后,AliHips文件会下载到服务器中。

globalcfg

不涉及

安装云安全中心客户端插件后,globalcfg文件会下载到服务器中。

hbrclient

  • hbrclient:执行数据备份、数据恢复、故障监测以及任务调度等任务。

  • ids:执行安全报告、异常检测、实时监控等任务。

服务器防勒索服务会启动hbrclientids进程。

dbackup3-agent

dbackup3-agent是数据库备份代理进程,执行数据库初始备份、增量备份、恢复数据库备份、调度与管理、日志记录与监控等任务。

数据库防勒索服务会启动dbackup3-agent进程。

查看进程

  • Linux系统:执行ps -ef | grep aegis命令查看客户端进程。

    image.png

  • Windows系统:在任务管理器中查看相关进程。

    image.png

进程与客户端状态说明

客户端状态

云安全中心服务端主要通过检测服务器中AliYunDun进程的状态判断客户端是否在线。出现以下任一情况,云安全中心服务端会判定该服务器客户端不在线,并将该服务器的客户端状态从已防护图标.png(在线)变成未防护图标.png(离线)。您可以在主机资产页面查看服务器的客户端状态。

  • 服务端检测到和客户端的通信异常,包括但不限于网络异常、客户端进程(AliYunDun)被异常结束、客户端被卸载等,会将客户端的状态更改为离线。

  • 如果服务端在10个小时内没有收到客户端登录、采集到的数据等信息,会将客户端状态更改为离线。

功能状态

云安全中心恶意网络行为防御、恶意主机行为防御等功能,都需要开启对应的进程才能使用。例如:当您为服务器开启恶意网络行为防御开关时,客户端会自动下载AliNet文件,并启动AliNet进程。您可以在服务器资产详情页面查看各功能的防御状态,下表是防御功能和进程的对应关系。

image.png

防御功能

支持的版本

关联进程

说明

客户端自保护

所有版本

AliYunDun

拦截未通过云安全中心控制台卸载云安全中心客户端或修改客户端文件的行为,保障客户端安全。

网站后门连接防御

企业版、旗舰版

AliHips

自动拦截黑客通过已知网站后门进行的异常连接行为。

恶意主机行为防御

防病毒版、高级版、企业版、旗舰版

自动拦截并查杀常见网络病毒。

防勒索(诱饵捕获)

防病毒版、高级版、企业版、旗舰版

捕捉新型勒索病毒的诱饵,并通过病毒行为分析,自动启动新型勒索病毒的防御。

恶意网络行为防御

高级版、企业版、旗舰版

AliNet

拦截服务器和已披露的恶意访问源之间的网络行为。