Security Center的惡意檔案SDK在Elastic Compute Service或Object Storage Service中檢測到風險檔案(如Webshell、挖礦程式、病毒木馬)時,會產生警示。本文檔將指導您如何快速評估風險、選擇並執行最合適的處理方式,並最終完成安全強化,形成應急響應閉環。
選擇處理方式
惡意檔案檢測SDK服務提供多種處理方式來處理檢測出的惡意檔案,請根據業務情境選擇合適的處理方式。
處理方式 | 效果持久性 | 對後續檢測的影響 | 適用情境 |
加白名單 | 永久 | 符合加白規則的檔案,將自動標籤為已加白且不再發送DingTalk機器人通知。 | 確認是業務所需檔案,為永久允許存取的業務檔案。 |
忽略 | 僅本次 | 無影響。 | 臨時性或低優先順序警示,或不確定是否為誤判,需要後續分析的情境。 |
禁止訪問 | 永久 | 當前檔案不再檢測。 | 為OSS檔案且確認是惡意檔案,需立即隔離,阻止其被訪問。 |
我已手工處理 | 僅本次 | 無影響。 | 已通過其他手段(如登入伺服器手動刪除檔案)處理了風險。 |
調查與評估風險
訪問Security Center控制台-風險治理-惡意檔案SDK,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
進入檔案詳情頁面
風險檔案總覽頁簽:單擊目標檔案操作列的詳情按鈕。
OSS檔案檢測頁簽:
將是否有風險篩選條件設定為有風險,單擊目標Bucket操作列的詳情按鈕。
在詳情頁列表的風險檔案詳情地區,單擊目標檔案操作列的詳情按鈕。
評估業務影響
重點關注檔案路徑、關聯進程、首次發現時間等資訊,並結合以下方法進行綜合判斷:
確認檔案歸屬:聯絡開發或營運人員,確認該檔案是否為業務正常檔案、測試檔案或已知無用檔案。
追溯檔案來源:檢查檔案所處的目錄環境。如檔案位於開源應用(如WordPress)目錄下,檢查應用是否存在已知漏洞,該檔案是否為漏洞利用所產生的後門。
參考官方建議:在詳情頁事件說明地區,查看系統給出的分析結論和處理指導。
執行處理操作
可以通過Security Center控制台直接處置檢測出的惡意檔案,也可以參考詳情頁提供的處置建議,手動處理相關檔案。下文將介紹如何通過控制台完成惡意檔案的處理操作。
處理步驟
進入處理頁面
風險檔案總覽頁簽:將篩選條件設定為未處理,單擊目標檔案操作列的處理按鈕。
OSS檔案檢測頁簽:
將是否有風險篩選條件設定為有風險,單擊目標Bucket操作列的詳情按鈕。
在詳情頁列表的風險檔案詳情地區,單擊目標檔案操作列的處理按鈕。
處理風險檔案
配置處理方式
在惡意指令碼處理彈窗,根據對風險檔案的影響評估結果,選擇合適的處理方式後並配置相關處理規則。更多資訊,請參見處理方式詳解。
配置批量處理(可選)
如需同時處理多個相似警示,可以勾選同時處理相同警示。
在基於相同檔案內容或基於相同警示類型頁簽,單擊展開按鈕,查看相同的警示詳情,
根據業務情境和相同警示資訊,確定需同時處理的警示。
基於相同檔案內容:檔案SHA256完全一致的所有警示。
基於相同警示類型:由同一檢測引擎發現的同類風險(如“Webshell”)的所有警示。
處理方式詳解
加白名单
設定加白規則
在加白名单頁簽,單擊+新增規則新增一條規則。
配置規則詳情
重要設定多條規則時,規則之間為“OR”關係,滿足任何一條即進行加白處理。
每一條規則從左至右共有4個配置框,說明如下:
檔案資訊欄位:支援檔案名稱、檔案MD5、SHA256、檔案所在Bucket名稱進行匹配。
條件類型:支援正則匹配、等於、包含等操作。配置樣本如下:
Regex樣本:要匹配所有以
.tmp結尾的臨時檔案。可選擇檔案資訊欄位為檔案名稱,條件類型為正則匹配,條件值為.*\.tmp$。檔案名稱匹配:要匹配所有包含
post檔案名稱的臨時檔案。可選擇檔案資訊欄位為檔案名稱,條件類型為包含,條件值為post。
條件值:支援常量、Regex。
處理說明:
將當前檔案狀態標記為“已加白”。
該操作會產生一條白名單規則,可在控制台策略配置中查看和管理,具體操作,請參見管理白名單。
當符合加白規則的風險檔案再次被檢出時,該檔案的狀態將自動化佈建為已加白,且不再發送DingTalk機器人風險通知。
安全建議
精確匹配:為避免誤將真實惡意檔案加入白名單,建議優先使用檔案MD5或SHA256進行匹配。
全路徑匹配:如果需要按檔案名稱匹配,建議採用Bucket名稱+檔案名稱匹配,避免範圍過大。
禁止訪問
此方式僅支援處理OSS檔案。
處理說明:
當前檔案狀態變更為禁止訪問,後續相同內容的檔案也將不再被檢測。
為檔案新增
mfd_forbidden標籤和下方Bucket 授權策略,從而禁止檔案被訪問和操作。說明可前往OSS控制台查看,更多內容請參見恢複被禁止訪問的檔案、對象標籤、Bucket Policy。
若已在OSS控制台刪除檔案,將不會添加標籤和策略。
{ "Effect": "Deny", "Action": [ "oss:GetObject" ], "Principal": [ "*" ], "Resource": [ "acs:oss:*:*:${Bucket名稱}/*" ], "Condition": { "StringEquals": { "oss:ExistingObjectTag/mfd_forbidden": [ "true" ] } } }
安全建議:
此操作可能導致依賴該檔案的業務功能出現中斷。在執行前,請務必確認該檔案無任何正常業務依賴。
忽略
處理說明:
僅對本次警示標記為“已忽略”,僅是一種警示狀態管理操作,它本身並不解決觸發警示的根本安全問題。
安全建議:
務必在充分確認是誤判或已知/接受風險後才使用,避免掩蓋真實的攻擊。
建議定期(例如每周或每月)查看“已忽略”狀態的警示列表。
如需不再收到此類警示,請使用“加白名單”功能。
我已手工處理
處理說明:僅將本次檢測出的檔案狀態更新為我已手工處理,不對檔案實際安全狀態進行任何驗證。
安全建議:請確認當前檔案已通過其他手段(如登入伺服器手動刪除檔案)處理後,選擇此方式。
管理處理結果
修改處理方式
訪問Security Center控制台-風險治理-惡意檔案SDK,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
進入修改操作彈窗
找到目標檔案
風險檔案總覽頁簽:將篩選條件設定為已處理的狀態(如已加白)後,定位至需要處理的檔案。
OSS檔案檢測頁簽:
將是否有風險篩選條件設定為有風險後,單擊目標Bucket操作列的詳情按鈕。
在詳情頁列表的風險檔案詳情地區,將篩選條件設定為已處理的狀態(如已加白)後,定位至需要處理的檔案。
執行操作
單擊目標檔案操作列的修改狀態按鈕。
修改處理方式
在修改狀態彈窗內,選擇新的處理方式後並配置相關處理規則。操作說明,請參見處理風險檔案。
重要支援重設為未處理狀態。
撤銷加白或忽略
方式一:狀態重設
參考修改處理方式說明,修改處理方式為未處理。
方式二:執行“取消加白”和“取消忽略”操作
找到目標檔案
風險檔案總覽頁簽:將篩選條件設定為已加白或已忽略後,定位至需要處理的檔案。
OSS檔案檢測頁簽:
將是否有風險篩選條件設定為有風險後,單擊目標Bucket操作列的詳情按鈕。
在詳情頁列表的風險檔案詳情地區,將檔案狀態篩選條件設定為已加白或已忽略,定位至需要處理的檔案。
執行取消操作
勾選需要處理的檔案名稱後,單擊列表左下方的取消加白或取消忽略。
恢複被禁止訪問的檔案
方式一:狀態重設
參考修改處理方式說明,修改處理方式為未處理。
方式二:OSS控制台手動處理
登入OSS管理主控台,然後單擊目標Bucket名稱。
刪除標籤
在左側導覽列,選擇檔案清單。單擊目標檔案操作列的
> 標籤。在標籤頁,刪除對應的
mfd_forbidden標籤。
刪除授權策略(慎選)
警告此操作會影響所有帶有
mfd_forbidden標籤的檔案,非必要情況下,請勿操作。在左側導覽列,選擇。
在Bucket 授權策略頁面的按文法策略添加頁簽,刪除mfd_forbidden相關文法。
管理白名單
新增/修改規則
在頁面右上方的策略管理的白名單管理頁簽,單擊新增規則或目標規則操作列編輯按鈕。
參照白名單規則詳情完成配置後,單擊確定。
刪除規則
在頁面右上方的策略管理的白名單管理頁簽,單擊目標規則操作列删除按鈕。
重要刪除白名單規則後,已經加入白名單的檔案狀態不會改變,但後續符合該規則的檔案將不會再自動加入白名單。