如何处理和预防病毒攻击_云安全中心(Security Center)-阿里云帮助中心

当服务器遭遇勒索病毒、挖矿程序等恶意软件攻击时，业务可能瘫痪，数据面临丢失风险。病毒查杀功能通过深度扫描和精准清理，帮助您快速发现并清除服务器上的各类恶意威胁，恢复业务正常运行。

适用范围

包年包月版：开通步骤请参见购买包年包月实例，其中版本选择为防病毒版、高级版、企业版或旗舰版。
说明
仅支持已绑定防病毒版、高级版、企业版或旗舰版防护版本的服务器使用该功能。
按量付费版：开通步骤请参见开通按量付费功能，其中主机及容器安全选择是。且开通后请至少为一台服务器设置防护等级为病毒防护、主机全面防护或主机及容器全面防护，具体操作请参见绑定服务器防护等级（按量付费版）。

功能概述

病毒查杀功能集成了阿里云机器学习病毒查杀引擎和实时更新的病毒库，通过对服务器的持久化启动项、活动进程、内核模块、敏感目录等关键位置进行扫描，有效识别并处理各类威胁。

核心能力

检测范围：覆盖进程、启动项、计划任务、敏感目录等关键扫描项。
处理方式：支持自动隔离、深度查杀、白名单管理等多种处置手段。
扫描模式：提供立即扫描、周期性扫描、自定义目录扫描等灵活模式。

适用场景

支持定期安全检查和威胁清理。
支持应急响应和安全事件处置。
支持合规审计和系统安全加固。

重要

不适合实时防护和全盘深度扫描。

支持处理的病毒类型和扫描项

病毒类型：勒索病毒、挖矿程序、DDoS木马、木马程序、后门程序、恶意程序、高危程序、蠕虫病毒、可疑程序及自变异木马。
扫描项：活动进程、隐藏进程、Docker进程、内核模块、已安装程序、动态库劫持、服务、计划任务、开机自启动项及敏感目录。

扫描病毒

病毒扫描支持立即扫描和周期性扫描两种方式。

说明

为降低对服务器资源的占用，暂不提供全盘扫描能力。

登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。在左侧导航栏，选择防护配置 > 主机防护 > 病毒查杀。
如果首次使用，系统可能会提示您为云安全中心授权服务关联角色。请单击立即授权并按引导完成。
说明
授权成功后，云安全中心自动创建服务关联角色AliyunServiceRoleForSas，更多信息请参见云安全中心服务关联角色。
在病毒查杀页面，选择扫描方式：
- 立即扫描：单击立即扫描或重新扫描，用于临时的、紧急的扫描任务。
- 周期性扫描：单击页面右上角的扫描设置，配置自动化扫描策略，建议用于日常自动化巡检。

参考下表配置扫描参数。

配置项	说明
扫描周期	仅用于周期性扫描，设置自动扫描的时间间隔和执行时间段。
扫描模式	快速扫描：推荐用于日常巡检，自动检测活动进程、启动项、敏感目录等。自定义目录扫描：扫描您指定的目录。支持输入多个绝对路径（换行输入），适用于针对性排查。重要单次任务支持扫描最多30,000个文件，超过限制可能导致超时或部分文件未被处理。单个文件大小上限为10MB。
内存检测	检测内存中的无文件恶意代码和隐藏进程。说明此功能会增加资源消耗和扫描时间，建议在业务低峰期或怀疑存在高级威胁时开启。
扫描范围	全部资产：扫描全部符合版本要求的服务器。按资产：可指定具体的资产。按分组：扫描该资产分组下的所有资产，如果选中的资产分组新增了资产，新增资产将自动加入扫描范围。按VPC：扫描该VPC下的所有资产，如果选中的VPC新增了资产，新增资产将自动加入扫描范围。

单击确定或下一步启动任务。
（可选）在病毒查杀页面右上角，单击任务管理，查看扫描任务状态和进展。

处理病毒告警

扫描完成后，您需要及时处理发现的病毒告警，以确保服务器安全。

重要

病毒查杀功能扫描出来的告警信息，会同步至安全告警功能模块中。您可以在任一模块处理告警，状态会双向同步。

处理前检查清单

在选择处理方式前，建议先登录服务器，对可疑文件进行基础信息确认，评估业务影响。

文件信息确认：通过文件路径、签名、哈希值确认是否为病毒（避免误杀系统/业务文件）。
进程与归属检查：：检查该文件是否被关键服务调用（如 nginx、mysql 相关组件）
业务影响评估：确认该文件是否为业务应用的一部分，删除后是否会影响服务。

处理方式选择指南

在告警列表中，找到需要处理的告警，单击处理，然后根据评估结果选择操作。您可以单击告警左侧的下拉图标查看病毒文件路径等详细信息。

深度查杀（推荐）

深度查杀由云安全中心安全专家团队经过对该持久化、顽固型病毒进行深度分析、测试后，推出的专项查杀能力。

适用场景：确认是病毒文件，尤其是勒索、挖矿等顽固病毒。
处理内容：
- 查杀恶意病毒进程：拦截正在运行的恶意病毒进程，使其无法再次破坏业务运行。
- 隔离恶意文件：云安全中心会将病毒文件隔离至文件隔离箱中，支持恢复和下载隔离文件。
- 清除病毒木马的持久化驻留项：针对 Crontab、恶意下载源等持久化方式推出专项分析清除能力，同时引入 AI 智能学习能力，不断提升安全对抗能力，实现小时级的快速响应处置能力。
修复方式：
- 自动创建快照并修复（推荐）：此选项会在处理前为服务器系统盘创建快照，作为数据备份
  重要
  创建和保留快照会产生费用，费用由快照产品收取，默认采用按量付费（后付费）模式，费用说明请参见快照计费。
- 不创建快照直接修复：存在误删业务文件导致服务中断的风险，且无法通过快照恢复。

加白名单

警告

加白名单后，不会再生成相同告警数据，请谨慎选择。

适用场景：确认告警为误报，且希望未来不再收到此类告警。
处理效果：
- 当前告警标记为“已加白”。
- 当相同告警再次发生，不会再生成新的告警数据，而是更新告警的最新发生时间。
  什么是相同告警？
  相同告警是指告警特征高度一致的安全威胁。例如：
  - 病毒类的告警：相同的资产+相同的病毒文件路径+相同的病毒文件MD5。
  - 异常登录：相同的资产+相同的登录IP。
风险提示：加白后将失去对该特定文件的安全监控，请谨慎操作。如需取消加白，请参见如何取消加白（白名单）。

忽略

重要

“忽略”仅是一种告警状态管理操作，它本身并不解决触发告警的根本安全问题。
务必在充分确认是误报或已知/接受风险后才使用，避免掩盖真实的攻击。

适用场景：确认告警为误报或已知可接受的风险（如内部授权的渗透测试活动、特定维护窗口期的异常行为）。
处理效果：
- 仅将当前这条告警标记为“已忽略”，不影响后续检测。
- 如果相同威胁再次出现，系统会重新生成告警。

我已手工处理

适用场景：已通过登录服务器等其他方式手动清除了该威胁。
处理效果：将告警标记为“已处理”，用于闭环安全事件。

管理隔离文件

深度查杀隔离的恶意文件，可以在30天内进行恢复或下载分析，过期系统将自动清除。

在病毒查杀页面右上角，单击文件隔离箱。
找到目标文件，在操作列单击恢复或下载。
- 恢复：将文件还原到原始路径。请仅在确认文件为误隔离时执行此操作。
- 下载：将文件下载到本地，用于进一步分析。

应用于生产环境

开通告警通知

在 系统设置 > 通知设置 页面配置告警通知，确保在发现高危威胁时，能通过邮件、短信或钉钉等方式第一时间通知到相关负责人。具体操作，请参见通知设置。

性能优化与应急响应

性能优化：
- 对于1核1G等低规格服务器，建议在业务低峰期执行快速扫描，并关闭内存检测。
- 对于大规模扫描任务，建议分批执行，或在扫描设置中排除大型日志、备份目录，以减少扫描时间。
应急响应流程：
1. 隔离：发现高危威胁后，立即使用安全组或断网等方式隔离受感染服务器。
2. 取证：为服务器创建快照，备份关键日志。
3. 清除：使用深度查杀功能，并手动检查持久化项是否彻底清除。
4. 加固：修复漏洞、修改弱密码、收紧安全组访问策略。
5. 监控：持续观察服务器状态，确认威胁未复发。

安全加固建议

为防范服务器后续再次遭受病毒攻击，建议对服务器实施必要的加固措施，以此加大攻击者的入侵代价，提高其突破防御的门槛。

开启恶意主机行为防御
在 防护配置 > 主机防护 > 恶意主机行为防御 页面开启此功能，具体操作参见恶意主机行为防御。它能主动拦截主流病毒（木马病毒、勒索软件、挖矿病毒、DDoS木马等威胁）的恶意行为，提供主动防御能力。
服务器安全加固
- 升级云安全中心版本：企业版和旗舰版支持病毒自动隔离（即病毒自动查杀）功能为您提供精准防御能力，支持安全检测项也更多。
- 收紧访问控制：仅开放必要的业务端口（如80、443），对管理端口（如22、3389）和数据库端口（如3306）配置严格的IP白名单访问策略。
  说明
  若是阿里云 ECS服务器可参见管理安全组进行操作。
- 设置复杂服务器密码：为服务器和应用设置包含大小写字母、数字和特殊符号的复杂密码。
- 升级软件：请及时将应用软件更新至官方最新版本，避免使用已停止维护或存在已知安全漏洞的旧版本。
- 定期备份：对重要数据和服务器系统盘创建定期快照策略。
  说明
  若是阿里云 ECS服务器可参见创建自动快照策略进行操作。
- 及时修复漏洞：定期使用云安全中心漏洞修复功能及时修补系统高危漏洞和应用漏洞。
- 重置服务器系统（谨慎选择）。
  如果病毒入侵较深，关联到系统底层组件，强烈建议您在备份重要数据后，重置服务器的系统。具体操作步骤如下：
  1. 创建快照备份服务器上的重要数据。具体操作，请参见创建快照。
  2. 初始化服务器的操作系统。具体操作，请参见重新初始化系统盘（重置操作系统）。
  3. 使用快照生成云盘。具体操作，请参见使用快照创建数据盘。
  4. 挂载云盘到重装系统后的服务器上。具体操作，请参见挂载数据盘。
- 更多安全防护建议，请您查看操作系统安全加固。

配额与限制

不支持全盘扫描：为降低对服务器资源的占用，仅扫描系统高风险区域。
文件数量限制：自定义目录扫描模式下，单次任务支持扫描最多30,000个文件，超过限制可能导致超时或部分文件未被处理
扫描时间限制：单次任务默认超时时间为2小时，超出限制的部分将被跳过。
文件大小限制：单个文件大小上限为10MB。

计费说明

病毒查杀功能本身不单独收费，其费用已包含在您购买的云安全中心防病毒版、高级版、企业版或旗舰版的整体服务费用中。

常见病毒告警处理实践教程

常见问题

如何取消加白（白名单）？

病毒查杀模块暂不支持取消加白，可前往检测响应 > 安全告警，在已处理的告警列表中执行取消加白操作，具体操作可参见取消告警加白。

说明

若您购买了威胁分析与响应（CTDR）服务，请在左侧导航栏，选择威胁分析与响应 > 安全告警。

病毒查杀和安全告警有什么区别？

病毒查杀是专注于检测和处理服务器恶意文件的功能模块，提供深度扫描和专项处置能力。
安全告警是一个统一的告警中心，汇总了包括病毒、异常登录、网络攻击、漏洞等在内的所有安全事件。

重要

病毒查杀功能扫描出来的告警信息，会同步至安全告警功能模块中。您可以在任一模块处理告警，状态会双向同步。

为什么病毒处理后反复出现？

病毒处理后复发可能原因如下：

根本原因未解决：服务器存在弱口令、未修复的高危漏洞，导致攻击者可以重复入侵。
清理不彻底：初次处理时未能清除所有潜伏的后门或持久化项。
数据源污染：从带有病毒的备份或镜像恢复了数据。

处理方案：

参照安全加固方案进行安全加固。
完成病毒处理后，建议重启服务器及应用，以中断可能潜伏在内存中的恶意进程。
警告
- 重启服务器会造成服务短暂中断，在此期间依赖该服务器运行的网站、应用程序等将无法正常访问，可能影响用户体验或业务流程的连续性，请在业务低峰期操作。
- 部分部署在服务器上的应用因未配置自动启动机制或依赖特定环境变量，通常需要手动重新启动，否则会导致应用服务不可用。例如特定版本的消息队列，请提前评估重启方案。

加白名单和忽略的区别？

差异点	加白	忽略
适用场景	永久性例外问题	适用于临时性、偶发性的误报或已知问题。
影响范围	后续相同告警将不再进行通知。	仅针对当前告警进行处理，对后续告警无影响。

扫描任务失败或超时怎么办？

任务超时：通常是因为自定义扫描的目录过大。解决方案如下：
- 尝试将大范围的扫描任务拆分为多个小范围的自定义目录扫描任务，特别关注/tmp, /var/tmp, /root等高危目录。
- 在扫描配置中排除大型日志或数据目录。
- 在业务低峰期执行扫描。
任务失败：
1. 检查Agent状态：确保服务器上的云安全中心Agent进程（AliYunDun）正常运行且网络在线。
2. 检查网络连通性：在服务器上测试能否访问云安全中心的服务端地址。
3. 检查系统资源：确保/tmp等目录有足够的磁盘空间（建议至少1GB），且CPU、内存资源未被耗尽。
4. 查看Agent日志：Linux路径为/usr/local/aegis/aegis_client/aegis_10_*/log/aegis.log。

处理失败怎么办？

刷新页面后重试。若仍失败，可点击“已手工处理”，然后尝试手动删除文件。如果文件无法删除（Operation not permitted），说明可能被加了i权限，可解锁命令chattr -i <file>后删除。

告警显示文件不存在怎么办？

这可能是因为病毒已被其他方式清除或病毒自身清理了痕迹，可在告警列表中点击“忽略”或“已手工处理”来清除此条告警。

如何处理多条告警（批量处理告警）？

防护配置 > 主机防护 > 病毒查杀模块扫描出的病毒类告警支持批量处理。
1. 进入病毒查杀列表页，选择需要处理的告警，单击左侧多选框。
2. 单击左下角批量处理按钮，选择合适的处理方式即可。
检测响应 > 安全告警模块支持批量加白、批量忽略的处理方式来处理告警。
1. 进入安全告警列表，选择需要处理的告警，单击左侧多选框。
2. 单击左下角忽略本次或加白名单按钮即可。

病毒库版本在哪里看？

在总览页面查看病毒库更新时间，云端病毒库是自动实时更新的，用户无需手动操作。

能否安装第三方杀毒软件（360/火绒）？

可以，但需注意可能存在的兼容性问题。建议将云安全中心客户端（Agent）的核心进程和目录（请参见客户端进程说明）加入第三方软件的白名单，以防被误杀。