病毒查杀

云安全中心病毒查杀功能使用阿里云机器学习病毒查杀引擎和实时更新的病毒库,提供丰富的系统扫描项,覆盖持久化启动项、活动进程、内核模块、敏感目录、SSH后门公钥等系统薄弱模块,可有效清理服务器的各类恶意威胁。本文介绍如何使用病毒查杀功能。

背景信息

在使用云安全中心病毒查杀功能时,建议您同时开启恶意主机行为防御功能。开启恶意主机行为防御功能后,云安全中心会自动拦截主流木马病毒、勒索软件、挖矿病毒、DDoS木马等威胁,阻断其恶意行为。开启恶意主机行为防御功能的具体操作,请参见主动防御

病毒查杀功能支持扫描及清理的病毒类型、扫描项如下:

  • 病毒类型:勒索病毒、挖矿程序、DDoS木马、木马程序、后门程序、恶意程序、高危程序、蠕虫病毒、可疑程序及自变异木马。

  • 扫描项:活动进程、隐藏进程、Docker进程、内核模块、已安装程序、动态库劫持、服务、计划任务、开机自启动项及敏感目录。

说明

为降低对服务器资源的占用,暂不提供全盘扫描能力。

版本限制

仅云安全中心的防病毒版、高级版、企业版、旗舰版支持该功能,免费版不支持。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配

步骤一:扫描病毒

病毒查杀功能会对云安全中心防护的所有服务器,针对勒索病毒、挖矿程序等顽固病毒提供深度扫描服务。病毒扫描支持立即扫描和周期性扫描。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择防护配置 > 主机防护 > 病毒查杀

  3. 如果未授权创建过服务关联角色AliyunServiceRoleForSas,您需要单击立即授权,根据页面提示完成授权操作。

    授权成功后,云安全中心自动创建服务关联角色AliyunServiceRoleForSas。关于AliyunServiceRoleForSas的更多信息,请参见云安全中心服务关联角色

  4. 病毒查杀页面,立即扫描病毒或者设置周期性扫描病毒。

    立即扫描

    1. 病毒查杀页面,单击立即扫描重新扫描

    2. 扫描设置面板,设置扫描模式和扫描范围。

      配置项

      说明

      扫描模式

      选择病毒扫描模式。

      • 快速扫描:该模式下,云安全中心会自动检测活动进程、启动项、敏感目录文件等安全风险。

      • 自定义目录扫描:该模式下,您可以自定义需要扫描的文件目录。

        输入需要扫描的文件目录,如果有多个文件目录需要换行输入。单次最大支持扫描30,000个文件,如果文件目录中的文件超过30,000个,超出部分的文件将无法扫描。

      扫描范围

      选择资产扫描的资产范围。您可以按照以下类型选择待扫描资产:

      • 全部资产:扫描全部资产。

      • 按资产:选择待扫描的主机资产。

      • 按分组:选择资产分组,云安全中心将扫描该资产分组下的所有资产。如果选中的资产分组新增了资产,新增资产将自动加入扫描范围。

      • 按VPC:选择VPC,云安全中心将扫描该VPC下的所有资产。如果选中的VPC新增了资产,新增资产将自动加入扫描范围。

    3. 单击确定

      云安全中心按照设定的扫描模式和扫描范围进行病毒扫描。扫描预计需要2~5分钟完成,请您耐心等待。

    设置周期性扫描

    1. 病毒查杀页面右上角,单击扫描设置

    2. 扫描设置面板,设置扫描病毒的周期、扫描模式和扫描范围。

      配置项

      说明

      扫描周期

      设置自动扫描的时间间隔和扫描时间段。

      扫描模式

      选择病毒扫描模式。

      • 快速扫描:该模式下,云安全中心会自动检测活动进程、启动项、敏感目录文件等安全风险。

      • 自定义目录扫描:该模式下,您可以自定义需要扫描的文件目录。

        输入需要扫描的文件目录,如果有多个文件目录需要换行输入。单次最大支持扫描30,000个文件,如果文件目录中的文件超过30,000个,超出部分的文件将无法扫描。

      扫描范围

      选择资产扫描的资产范围。您可以按照以下类型选择待扫描资产:

      • 全部资产:扫描全部资产。

      • 按资产:选择待扫描的主机资产。

      • 按分组:选择资产分组,云安全中心将扫描该资产分组下的所有资产。如果选中的资产分组新增了资产,新增资产将自动加入扫描范围。

      • 按VPC:选择VPC,云安全中心将扫描该VPC下的所有资产。如果选中的VPC新增了资产,新增资产将自动加入扫描范围。

    3. 单击下一步

      云安全中心会按照您的设置规则对要扫描的资产执行自动扫描病毒。

  5. (可选)病毒查杀页面右上角,单击任务管理,查看扫描任务状态和进展。

步骤二:处理告警

云安全中心针对病毒扫描检出的威胁项,还提供了完整的威胁处置能力,支持对勒索、挖矿等顽固病毒一键深度查杀。深度查杀通过查杀恶意病毒进程、隔离恶意文件和清除病毒木马的持久化驻留项可以清理各类顽固性病毒。扫描完成后,建议您及时查看并处理扫描结果,以确保您的服务器不受恶意病毒的威胁。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择防护配置 > 主机防护 > 病毒查杀

  3. 通过以下方式进入告警处理页面。

    • 处理单个告警主机:在检查结果列表中定位到需要处理告警的服务器,在操作列单击处理

    • 批量处理多个告警主机:选中需要处理的多个服务器,单击批量处理

  4. 告警处理面板,选择告警处理方式。

    处理方式

    说明

    深度查杀

    深度查杀服务器中的病毒。深度查杀是云安全中心产品对持久化、顽固型病毒进行深度分析和测试后提供的专项查杀能力,您可以在控制台页面查看深度查杀的详情。

    深度查杀模式下,支持选择先自动创建快照备份服务器系统盘,再进行病毒查杀,帮助您在执行病毒查杀时有效降低操作风险。

    加白名单

    将告警加入白名单。告警加入白名单后,云安全中心将不再检测该告警。

    忽略

    忽略当前告警。忽略当前告警后,该告警状态将更新为已忽略。如果再次出现当前告警事件,云安全中心会正常提供告警。

    我已手工处理

    如果您已手动处理当前告警,请选择我已手工处理,当前告警状态将更新为已处理

  5. 单击下一步

    系统开始处理告警。处理完成后,您可以查看处理结果和告警状态。

步骤三:设置告警通知

您可以在系统配置 > 通知设置页面配置告警通知等级和通知方式。具体操作,请参见通知设置

image.png