當伺服器遭遇勒索病毒、挖礦程式等惡意軟體攻擊時,業務可能癱瘓,資料面臨丟失風險。病毒查殺功能通過深度掃描和精準清理,協助您快速發現並清除伺服器上的各類惡意威脅,恢複業務正常運行。
功能概述
病毒查殺功能整合了阿里雲機器學習病毒查殺引擎和即時更新的病毒庫,通過對伺服器的持久化啟動項、活動進程、核心模組、敏感目錄等關鍵位置進行掃描,有效識別並處理各類威脅。
核心能力
檢測範圍:覆蓋進程、啟動項、計劃任務、敏感目錄等關鍵掃描項。
處理方式:支援自動隔離、深度查殺、白名單管理等多種處置手段。
掃描方式:支援立即掃描與周期性掃描兩種方式。
適用情境
定期安檢:按計划進行安全檢查與威脅清理。
應急響應:用於安全事件發生後的快速處置與溯源。
合規加固:滿足合規審計要求,並對系統進行安全強化。
不支援即時防護(在檔案建立、修改、訪問或程式執行時自動檢測並阻止威脅)和全盤掃描(對系統所有檔案進行完整的安全檢查)。
支援處理的病毒類型和掃描項
病毒類型:勒索病毒、挖礦程式、DDoS木馬、木馬程式、後門程式、惡意程式、高危程式、蠕蟲、可疑程式及自變異木馬。
掃描項:活動進程、隱藏進程、Docker進程、核心模組、已安裝程式、動態庫劫持、服務、計劃任務、開機自啟動項及敏感目錄。
適用範圍
掃描病毒
病毒掃描支援立即掃描和周期性掃描兩種方式。
登入控制台
登入Security Center控制台。在左側導覽列,選擇。在控制台左上方,選擇需防護資產所在的地區:中國內地或非中國內地。
服務授權
如果首次使用,系統可能會提示您為Security Center授權服務關聯角色。請單擊立即授權並按引導完成。
說明授權成功後,Security Center自動建立服務關聯角色AliyunServiceRoleForSas,更多資訊請參見Security Center服務關聯角色。
選擇掃描方式
立即掃描:單擊立即掃描或重新扫描,可用於臨時的、緊急的掃描任務。
周期性掃描:單擊頁面右上方的掃描設定,配置自動化掃描策略,可用於日常自動化巡檢。
配置參數
參考下表配置掃描參數後,單擊確定或下一步啟動任務。
配置項
說明
掃描周期
配置周期性掃描的執行間隔與時間視窗。僅在建立周期性掃描任務時生效。
掃描模式
指定掃描任務的檢測範圍。
快速掃描:自動檢測活動進程、啟動項、敏感目錄等。
自訂目錄掃描:掃描指定的目錄。支援輸入多個絕對路徑(換行輸入)。
重要單次任務最多支援掃描30,000個檔案,超過限制可能導致逾時或部分檔案未被處理。
單個檔案大小上限為10MB。
記憶體檢測
檢測記憶體中的檔案惡意代碼和隱藏進程。
說明此功能會增加資源消耗和掃描時間,建議在業務低峰期或懷疑存在進階威脅時開啟。
掃描範圍
指定掃描任務需要覆蓋的目標資產。
全部資產:掃描全部符合版本要求的伺服器。
按資產:可指定具體的資產。
按分組:掃描該資產分組下的所有資產,如果選中的資產分組新增了資產,新增資產將自動加入掃描範圍。
按VPC:掃描該VPC下的所有資產,如果選中的VPC新增了資產,新增資產將自動加入掃描範圍。
查看任務進度
(可選)在病毒查殺頁面右上方,單擊任務管理,查看掃描任務狀態和進展。
處理病毒警示
掃描完成後,您需要及時處理髮現的病毒警示,以確保伺服器安全。
病毒查殺功能掃描出來的警示資訊,會同步至安全警示功能模組中。您可以在任一模組處理警示,狀態會雙向同步。
處理前檢查清單
在選擇處理方式前,建議先登入伺服器,對可疑檔案進行基礎資訊確認,評估業務影響。
檔案資訊確認:通過檔案路徑、簽名、雜湊值確認是否為病毒(避免誤殺系統/業務檔案)。
進程與歸屬檢查::檢查該檔案是否被關鍵服務調用(如
nginx、mysql相關組件)業務影響評估:確認該檔案是否為業務應用的一部分,刪除後是否會影響服務。
選擇處理方式
在警示列表中,找到需要處理的警示,單擊處理,然後根據評估結果選擇操作。您可以單擊警示左側的下拉表徵圖查看病毒檔案路徑等詳細資料。
處理方式 | 適用情境 |
深度查殺 | 確認是病毒檔案,尤其是勒索、挖礦等頑固病毒。 |
加白名单 | 確認警示為誤判,且希望未來不再收到此類警示。 警告 加白名單後,不會再產生相同警示資料,請謹慎選擇。 |
忽略 | 確認警示為誤判或已知可接受的風險(如內部授權的滲透測試活動、特定維護視窗期的異常行為)。 |
我已手工处理 | 已登入伺服器通過其他方式手動清除了威脅。 |
深度查殺(推薦)
深度查殺由Security Center安全專家團隊經過對該持久化、頑固型病毒進行深度分析、測試後,推出的專項查殺能力。
處理過程:
查殺惡意病毒進程:攔截正在啟動並執行惡意病毒進程,使其無法再次破壞業務運行。
隔離惡意檔案:Security Center會將病毒檔案隔離至檔案隔離箱中,支援恢複和下載隔離檔案。
清除病毒木馬的持久化駐留項:針對 Crontab、惡意下載源等持久化方式推出專項分析清除能力,同時引入AI智能學習能力,不斷提升安全對抗能力。
處理結果:
狀態更新:當前警示狀態更新為“已處理”。
建立快照:若選擇修複方式為自動建立快照並修複,會為伺服器系統硬碟建立快照作為資料備份。
重要建立和保留快照會產生費用,費用由快照產品收取,預設採用隨用隨付(後付費)模式,可通過售前諮詢瞭解費用情況。
若不建立快照備份直接修複,存在誤刪業務檔案導致服務中斷的風險,且無法通過快照恢複。
加白名單
處理結果:
狀態更新:當前警示狀態更新為“已加白”。
後續影響:當相同警示再次發生,不會再產生新的警示資料,而是更新警示的最新發生時間。
風險提示:
加白後將失去對該特定檔案的安全監控,請謹慎操作。如需取消加白,請參見如何取消加白(白名單)。
忽略
處理結果:
狀態更新:當前警示狀態更新為“已忽略”。
後續影響:此操作不影響後續檢測。如果相同威脅再次出現,系統會重建警示。
風險提示:
“忽略”僅是一種警示狀態管理操作,並不會解決引發警示的實際安全問題。
請在確認警示為誤判或已評估並接受相關風險後,再執行此操作,以防遺漏真實攻擊。
我已手工處理
處理結果:
狀態更新:當前警示狀態更新為“已處理”。
後續影響:此操作不影響後續檢測。如果威脅未被徹底清除,系統仍可能再次產生警示。
風險提示:
“我已手工處理”僅是一種警示狀態管理操作,用於閉環安全事件。
執行此操作前,請確保您已完成所有必要的修複和加固措施,否則可能導致威脅複發。
管理隔離檔案
深度查殺隔離的惡意檔案,可以在30天內進行恢複或下載分析,到期系統將自動清除。
在病毒查殺頁面右上方,單擊檔案隔離箱。
找到目標檔案,在操作列單擊恢複或下載。
恢複:將檔案還原到原始路徑。請僅在確認檔案為誤隔離時執行此操作。
下載:將檔案下載到本地,用於進一步分析。
應用於生產環境
開通警示通知
在 系統設定 > 通知設定 頁面配置警示通知,確保在發現高危威脅時,能通過郵件、簡訊或DingTalk等方式第一時間通知到相關負責人。具體操作,請參見通知設定。
效能最佳化與應急響應
效能最佳化:
對於
1核1G等低規格伺服器,建議在業務低峰期執行快速掃描,並關閉記憶體檢測。以減少對系統資源的消耗。對於大規模掃描任務,建議分批執行,或在掃描設定中排除大型日誌、備份目錄,以減少掃描時間。
應急響應流程:
隔離:發現高危威脅後,立即使用安全性群組或斷網等方式隔離受感染伺服器。
取證:為伺服器建立快照,備份關鍵日誌。
清除:使用深度查殺功能,並手動檢查持久化項是否徹底清除。
加固:修複漏洞、修改弱密碼、收緊安全性群組存取原則。
監控:持續觀察伺服器狀態,確認威脅未複發。
安全強化建議
為防範伺服器後續再次遭受病毒攻擊,建議對伺服器實施必要的加固措施,以此加大攻擊者的入侵代價,提高其突破防禦的門檻。
開啟惡意主機行為防禦
在 防護配置 > 主機防護 > 惡意主機行為防禦 頁面開啟此功能,具體操作參見惡意主機行為防禦。它能主動攔截主流病毒(木馬病毒、勒索軟體、挖礦病毒、DDoS木馬等威脅)的惡意行為,提供主動防禦能力。
伺服器安全強化
升級Security Center版本:企業版和旗艦版支援病毒自動隔離(即病毒自動查殺)功能為您提供精準防禦能力,支援更多的安全檢測項。
收緊存取控制:僅開放必要的業務連接埠(如80、443),對管理連接埠(如22、3389)和資料庫連接埠(如3306)配置嚴格的IP白名單存取原則。
說明若是阿里雲 ECS伺服器可參見管理安全性群組進行操作。
設定複雜伺服器密碼:為伺服器和應用設定包含大小寫字母、數字和特殊符號的複雜密碼。
升級軟體:請及時將應用軟體更新至官方最新版本,避免使用已停止維護或存在已知安全性漏洞的舊版本。
定期備份:對重要資料和伺服器系統硬碟建立定期快照策略。
說明若是阿里雲 ECS伺服器可參見建立自動快照策略進行操作。
及時修複漏洞:定期使用Security Center漏洞修複功能及時修補系統高危漏洞和應用漏洞。
重設伺服器系統(謹慎選擇)。
如果破壞入侵較深,關聯到系統底層組件,強烈建議您在備份重要資料後,重設伺服器的系統。具體操作步驟如下:
建立快照備份伺服器上的重要資料。具體操作,請參見建立快照。
初始化伺服器的作業系統。具體操作,請參見重新初始化系統硬碟(重設作業系統)。
使用快照產生雲端硬碟。具體操作,請參見使用快照建立資料盤。
掛載雲端硬碟到重裝系統後的伺服器上。具體操作,請參見掛載資料盤。
配額與限制
即時防護:不支援在檔案建立、修改或執行時自動檢測並阻止威脅。如需主動防禦,需開啟主機防護設定。
全盤掃描:不支援對伺服器所有檔案進行完整的安全檢查,掃描範圍聚焦於高風險地區。
檔案數量限制:自訂目錄掃描模式下,單次任務最多支援掃描30,000個檔案,超過限制可能導致逾時或部分檔案未被處理。
掃描時間限制:單次任務預設逾時時間為2小時,超出限制的部分將被跳過。
檔案大小限制:單個檔案大小上限為10MB。
實踐教程
常見問題
加白與忽略相關問題
如何取消加白(白名單)?
病毒查殺模組暫不支援取消加白,可前往,在已處理的警示列表中執行取消加白操作,具體操作可參見取消警示加白。
說明若您購買了威脅分析與響應(CTDR)服務,請在左側導覽列,選擇。
加白名單和忽略的區別?
處理方式
適用情境
影響範圍
加白
永久性例外問題
後續相同警示將不再進行通知。
忽略
適用於臨時性、偶發性的誤判或已知問題。
僅針對當前警示進行處理,對後續警示無影響。
病毒查殺與警示處理問題
病毒查殺和安全警示有什麼區別?
病毒查殺是專註於檢測和處理伺服器惡意檔案的功能模組,提供深度掃描和專項處置能力。
安全警示是一個統一的警示中心,匯總了包括病毒、異常登入、網路攻擊、漏洞等在內的所有安全事件。
重要病毒查殺功能掃描出來的警示資訊,會同步至安全警示功能模組中。您可以在任一模組處理警示,狀態會雙向同步。
為什麼病毒處理後反覆出現?
病毒處理後複發可能原因如下:
根本原因未解決:伺服器存在弱口令、未修複的高危漏洞,導致攻擊者可以重複入侵。
清理不徹底:初次處理時未能清除所有潛伏的後門或持久化項。
資料來源汙染:從帶有病毒的備份或鏡像恢複了資料。
處理方案:
參照安全強化方案進行安全強化。
完成病毒處理後,建議重啟伺服器及應用,以中斷可能潛伏在記憶體中的惡意進程。
警告重啟伺服器會造成服務短暫中斷,在此期間依賴該伺服器啟動並執行網站、應用程式等將無法正常訪問,可能影響使用者體驗或商務程序的連續性,請在業務低峰期操作。
部分部署在伺服器上的應用因未配置自動啟動機制或依賴特定環境變數,通常需要手動重新啟動,否則會導致應用服務不可用。例如特定版本的訊息佇列,請提前評估重啟方案。
如何處理多條警示(批量處理警示)?
模組掃描出的病毒類警示支援批量處理。
進入病毒查殺列表頁,選擇需要處理的警示,單擊左側多選框。
單擊左下角批量處理按鈕,選擇合適的處理方式即可。
模組支援批量加白、批量忽略的處理方式來處理警示。
進入安全警示列表,選擇需要處理的警示,單擊左側多選框。
單擊左下角忽略一次或加白名单按鈕即可。
警示顯示檔案不存在怎麼辦?
這可能是因為病毒已被其他方式清除或病毒自身清理了痕迹,可在警示列表中點擊“忽略”或“已手工處理”來清除此條警示。
掃描與任務執行問題
掃描任務失敗或逾時怎麼辦?
任務逾時:通常是因為自訂掃描的目錄過大。解決方案如下:
嘗試將大範圍的掃描任務拆分為多個小範圍的自訂目錄掃描任務,特別關注
/tmp,/var/tmp,/root等高危目錄。在掃描配置中排除大型日誌或資料目錄。
在業務低峰期執行掃描。 ·
任務失敗:
檢查Agent狀態:確保伺服器上的Security CenterAgent進程(
AliYunDun)正常運行且網路線上。檢查網路連通性:在伺服器上測試能否訪問Security Center的服務端地址。
檢查系統資源:確保
/tmp等目錄有足夠的磁碟空間(建議至少1GB),且CPU、記憶體資源未被耗盡。查看Agent日誌:Linux路徑為
/usr/local/aegis/aegis_client/aegis_10_*/log/aegis.log。
病毒處理失敗怎麼辦?
重新整理頁面後重試。若仍失敗,可點擊“已手工處理”,然後嘗試手動刪除檔案。如果檔案無法刪除(Operation not permitted),說明可能被加了
i許可權,可解鎖命令chattr -i <file>後刪除。
系統相容與工具配置問題
病毒庫版本在哪裡看?
在總覽頁面查看病毒庫更新時間,雲端病毒庫是自動即時更新的,使用者無需手動操作。
能否安裝第三方殺毒軟體(360/火絨)?
可以,但需注意可能存在的相容性問題。建議將Security Center用戶端(Agent)的核心進程和目錄(請參見用戶端進程說明)加入第三方軟體的白名單,以防被誤殺。