本文档将指导您如何在主机安全控制台对木马文件进行操作处理。
文件查杀设置
1. 登录 主机安全控制台,在左侧导航栏选择入侵检测 > 文件查杀。
2. 在文件查杀页面,单击右上角处的查杀设置,右侧弹出查杀设置页面,可对查杀模式进行设置。
说明
该功能属于专业版/旗舰版功能,请先 购买防护授权 并绑定主机,升级为专业版/旗舰版主机。
文件查杀支持木马文件检测,全部机器可累计免费检测5条恶意文件安全事件,超过则停止检测,升级为专业版或旗舰版主机安全则没有次数限制,常见的木马文件检测有以下两种:
Webshell 检测:提供常用的 Web 网站类脚本木马后门检测,包含 ASP/PHP/JSP/Python 等脚本语言。
二进制检测:提供对二进制可执行类的病毒木马检测,例如 DDoS 木马、远控、挖矿类软件等,文件类型包括 exe、dll、bin 等,并告警用户。
3. 在查杀设置页面,支持定时检测、实时监控、自动隔离设置。
定时检测:单击开启定时检测,设置检测模式、周期和检测范围后,单击保存,可定期扫描主机木马病毒文件,增强安全性。
检测模式:包括快速检测模式和全盘检测模式,可对运行中进程、关键目录、驱动加载等进行检测。其中全盘检测的时长与服务器磁盘文件数量相关,推荐检测周期选择4小时以上,避免出现扫描不完整或超时情况。
快速检测:Linux系统会检测运行中进程、关键目录、驱动加载等;Windows 会扫描 C 盘。
全盘检测:Linux 系统除快速检测范围外,还会检测系统所有分区;Windows 会扫描 CDEF 盘。
异常进程检测:深度检测内存中的异常进程,可能造成一定程度的资源占用率升高,请谨慎选择。
检测周期:可选择每天、每隔3天或每隔7天检测周期。
检测范围:包括全部专业版本服务器和自选服务器。
实时监控:单击开启实时监控,并选择监控模式后,单击保存,可实时监控 Web 目录、系统关键目录,查杀木马病毒文件。
说明:
监控模式分为标准和推荐两种模式。
标准:监控并扫描检测常见目录下增量文件。
深度:监控并扫描检测所有目录下增量文件。
自动隔离:单击开启自动隔离 > 保存,自动隔离检测出的恶意文件,部分恶意文件仍需用户手动确认隔离,建议检查文件查杀列表中所有安全事件,确保已全部处理。防护模式包括:
标准模式:仅针对高置信度的风险进行自动防护,更适合日常安全运营使用。
重保模式:综合多个引擎检测结果,针对中、高置信度的风险进行自动拦截。可能存在误拦截风险,适合重保防护,请谨慎启用。
说明:
若出现误隔离,请在已隔离列表中对文件进行恢复。开启或关闭自动隔离,均需要进行配置,实际生效存在几分钟延迟。
也可在恶意文件告警列表上方进行快捷配置。
检测设置概览
1. 登录 主机安全控制台 ,在左侧导航栏选择入侵检测 > 文件查杀。
2. 在文件查杀页面,单击一键检测,开始设置手动检测模式。
3. 在一键检测设置页面,设置目标检测模式、主机范围和超时时间后,检测可能会因为文件、目录过多,扫描耗时较长,可以设置单次扫描时长,超时则视为扫描失败。
4. 单击开启检测后按照检测设置进行检测,可单击查看详情查看检测详情信息。
检测详情列表包含字段说明如下:
影响服务器 :目标服务器的 IP 及名称。
操作系统 :目标服务器的操作系统。
检测状态:目标服务器检测完成、检测中及检测失败的检测状态,其中检测失败的原因可能是目标服务器检测超时失败,建议增加超时时长后重新检测,检测失败的原因可能是客户端已离线,建议重启或重新安装客户端后重新检测。
待处理风险:目标服务器检测出待处理的风险文件数量。
检测开始时间:此次检测开始的时间。
检测结束时间:目标服务器检测结束的时间。
操作:
重新检测:若想对检测状态处于检测完成、检测停止和检测失败的目标服务器再次检测,您可以单击重新检测。
停止检测:若想对检测状态处于检测中的目标服务器停止检测,您可以单击停止检测。
注意
选中的服务器将不会被检测,可能存在的风险将不会告警提示,请谨慎操作。
查看详情:若想查看目标服务器的检测结果详情,您可以单击查看详情。
查看事件列表
1. 登录 主机安全控制台 ,在左侧导航栏选择入侵检测 > 文件查杀。
2. 在文件查杀页面,可查看当前受保护的服务器中,木马文件检测情况,如下图所示:
事件列表包含字段说明如下:服务器 IP /名称 :当前检测的目标服务器 IP 和名称。
路径:目标风险文件的文件路径,单击
复制路径信息、单击
下载目标风险文件。病毒名/检出引擎:入侵目标风险文件的病毒名。
首次发现时间:首次检测到目标风险文件出现的时间。
最近检测时间:最近一次检测到目标风险文件出现的时间。
处理状态:目标风险文件的处理状态,待处理状态的事件会提示最近一次检测该文件时,文件和进程的存在情况。
操作:
隔离:若确认文件是恶意的,可以对单个文件进行隔离,或者批量选择文件进行一键隔离。当隔离成功后,原始恶意文件将被加密隔离,后期可以通过筛选已隔离文件,进行恢复。
信任:若文件是非恶意的,可以选择信任操作,加入信任后,主机安全将不再对该文件进行检测,可以通过筛选信任文件,对信任文件进行管理。
删除记录:该操作仅删除日志记录,不会删除文件,操作后无法再查看相关日志信息,建议您先对文件进行“隔离”、“信任”操作,或根据路径找到相应文件进行手动删除。
详情:若想查看目标风险文件的检测结果详情,可以单击查看详情。
常见问题
木马文件为什么隔离失败?
后续步骤
Linux 入侵类问题排查指南,请参见 Linux 入侵类问题排查思路。
Windows 入侵类问题排查指南,请参见 Windows 入侵类问题排查思路。