网页防篡改 - 云安全中心

网页防篡改功能可实时监控网站目录或文件，并可在网站被恶意篡改时通过备份数据恢复被篡改的文件或目录，防止网站被植入非法信息，保障网站正常运行。本文介绍如何使用网页防篡改功能。

背景信息

网络攻击者通常会利用被攻击网站中存在的漏洞，通过在网页中植入非法暗链等方式篡改网页内容，进行非法牟利或者恶意商业攻击等活动。网页被恶意篡改会影响您正常访问网页，还可能会导致严重的经济损失、品牌损失甚至是政治风险。

云安全中心Agent通过自动化采集被保护服务器的防护目录下文件的进程列表，实时识别异常进程和异常文件变动，并对导致异常文件变动的进程进行拦截或告警。

计费说明

网页防篡改功能为云安全中心的增值服务，需要您购买后才能使用。该功能的计费详情，请参见云安全中心计费说明。

使用限制

网页防篡改的白名单功能需要在特定的操作系统和内核版本下才能使用。白名单功能支持的操作系统和内核版本范围，请参见白名单功能支持的操作系统和内核版本。

待防护的服务器操作系统和内核版本在白名单功能支持范围内时，有以下限制：
- 每台服务器最多可添加10个防护目录。
- 每个被防护的文件或目录的完整路径长度不能超过1,000个英文字符或500中文字符。
待防护的服务器操作系统和内核版本不在白名单功能支持范围内时，有以下限制：
- 每台服务器最多可添加10个防护目录。
- 每个被防护的目录大小不超过20 GB。
- 每个被防护的目录下的文件夹个数不超过20,000个。
- 每个被防护的目录文件夹层级不超过20个。
- 每个被防护的文件大小不超过20 GB。
- 防篡改进程白名单无法生效。
- 告警模式无法使用。
- 网络文件系统NFS路径无法防御。

表 1. 白名单功能支持的操作系统和内核版本
操作系统	操作系统版本号	内核版本号
Windows（32位或64位）	Windows Server 2008、2012、2016和2019	所有版本
CentOS（64位）	CentOS 6.3、6.5、6.6、6.7、6.8、6.9、6.10 CentOS 7.0-1406、7.1-1503、7.2-1511、7.3-1611、7.4-1708、7.5-1804、7.6-1810、7.7-1908、7.8-2003、7.9-2009	2.6.32-（表示所有2.6.32版本的CentOS系统内核） 3.10.0-（表示所有3.10.0版本的CentOS系统内核）
CentOS（64位）	CentOS 8.0-1905 CentOS 8.1-1911 CentOS 8.2-2004 CentOS 8.3-2011 CentOS 8.4-2105 CentOS 8.5 CentOS Stream 8	4.18.0-80.11.2.el8_0.x86_64 4.18.0-147.3.1.el8_1.x86_64 4.18.0-147.5.1.el8_1.x86_64 4.18.0-147.8.1.el8_1.x86_64 4.18.0-193.el8.x86_64 4.18.0-193.6.3.el8_2.x86_64 4.18.0-193.14.2.el8_2.x86_64 4.18.0-193.28.1.el8_2.x86_64 4.18.0-240.1.1.el8_3.x86_64 4.18.0-240.15.1.el8_3.x86_64 4.18.0-240.22.1.el8_3.x86_64 4.18.0-305.3.1.el8.x86_64 4.18.0-305.7.1.el8_4.x86_64 4.18.0-305.10.2.el8_4.x86_64 4.18.0-305.12.1.el8_4.x86_64 4.18.0-305.19.1.el8_4.x86_64 4.18.0-305.25.1.el8_4.x86_64 4.18.0-348.2.1.el8_5.x86_64 4.18.0-348.7.1.el8_5.x86_64 4.18.0-358.el8.x86_64 4.18.0-365.el8.x86_64
Ubuntu（64位）	Ubuntu 14.04	3.13.0-32-generic 3.13.0-65-generic 3.13.0-86-generic 3.13.0-145-generic 3.13.0-164-generic 3.13.0-170-generic 3.19.0-80-generic 4.4.0-93-generic
	Ubuntu 16.04	4.4.0-62-generic 4.4.0-63-generic 4.4.0-79-generic 4.4.0-93-generic 4.4.0-96-generic 4.4.0-104-generic 4.4.0-117-generic 4.4.0-124-generic 4.4.0-142-generic 4.4.0-146-generic 4.4.0-151-generic 4.4.0-154-generic 4.4.0-157-generic 4.4.0-161-generic 4.4.0-170-generic 4.4.0-174-generic 4.4.0-176-generic 4.4.0-177-generic 4.4.0-178-generic 4.4.0-179-generic 4.4.0-184-generic 4.4.0-194-generic 4.4.0-198-generic 4.4.0-210-generic
	Ubuntu 18.04	4.15.0-23-generic 4.15.0-42-generic 4.15.0-45-generic 4.15.0-48-generic 4.15.0-52-generic 4.15.0-54-generic 4.15.0-66-generic 4.15.0-70-generic 4.15.0-72-generic 4.15.0-88-generic 4.15.0-91-generic 4.15.0-96-generic 4.15.0-101-generic 4.15.0-106-generic 4.15.0-109-generic 4.15.0-112-generic 4.15.0-117-generic 4.15.0-118-generic 4.15.0-121-generic 4.15.0-122-generic 4.15.0-124-generic 4.15.0-128-generic 4.15.0-143-generic 4.15.0-151-generic 4.15.0-162-generic 4.15.0-166-generic 4.15.0-169-generic 4.15.0-170-generic 4.15.0-173-generic 4.15.0-175-generic 4.15.0-177-generic 4.15.0-181-generic 4.15.0-189-generic 4.15.0-190-generic 4.15.0-192-generic 4.15.0-196-generic 4.15.0-197-generic 4.15.0-200-generic
	Ubuntu 20.04	5.4.0-47-generic 5.4.0-70-generic 5.4.0-77-generic 5.4.0-86-generic 5.4.0-90-generic 5.4.0-92-generic 5.4.0-94-generic 5.4.0-100-generic 5.4.0-102-generic 5.4.0-106-generic 5.4.0-108-generic 5.4.0-110-generic 5.4.0-113-generic 5.4.0-122-generic 5.4.0-123-generic 5.4.0-125-generic 5.4.0-132-generic 5.4.0-135-generic
Anolis OS（64位）	Anolis OS 7.9 RHCK Anolis OS 7.9 ANCK Anolis OS 8.2 RHCK Anolis OS 8.2 ANCK Anolis OS 8.4 RHCK Anolis OS 8.4 ANCK Anolis OS 8.6 RHCK Anolis OS 8.6 ANCK	3.10.0-1062.an7.x86_64 3.10.0-1160.an7.x86_64 3.10.0-1160.59.1.0.1.an7.x86_64 3.10.0-1160.62.1.0.1.an7.x86_64 3.10.0-1160.66.1.0.1.an7.x86_64 3.10.0-1160.71.1.0.1.an7.x86_64 3.10.0-1160.76.1.0.1.an7.x86_64 3.10.0-1160.80.1.0.1.an7.x86_64 4.18.0-348.2.1.an8_4.x86_64 4.18.0-348.12.2.an8.x86_64 4.18.0-348.20.1.an8_5.x86_64 4.18.0-348.23.1.an8_5.x86_64 4.18.0-372.9.1.an8.x86_64 4.18.0-372.16.1.an8_6.x86_64 4.18.0-372.19.1.an8_6.x86_64 4.18.0-372.26.1.an8_6.x86_64 4.18.0-372.32.1.an8_6.x86_64 4.19.91-25.2.an7.x86_64 4.19.91-25.7.an7.x86_64 4.19.91-25.7.an8.x86_64 4.19.91-25.8.an8.x86_64 4.19.91-26.an7.x86_64 4.19.91-26.an8.x86_64 4.19.91-26.1.an8.x86_64 4.19.91-26.4.an7.x86_64 4.19.91-26.5.an7.x86_64 4.19.91-26.6.an7.x86_64 4.19.91-26.4.an8.x86_64 4.19.91-26.5.an8.x86_64 4.19.91-26.6.an8.x86_64
RHEL	RHEL 6.2、7.7、7.8、7.9、8.0	2.6.32-220 3.10.0-1062 3.10.0-1127 3.10.0-1160 4.18.0-80
AliyunOS（64位）	Alibaba Cloud Linux 2.1903 Alibaba Cloud Linux 3.2104	4.4.95-1.al7.x86_64 4.4.95-2.al7.x86_64 4.4.95-3.al7.x86_64 4.19.24-7.al7.x86_64 4.19.24-7.14.al7.x86_64 4.19.81-17.al7.x86_64 4.19.81-17.2.al7.x86_64 4.19.91-18.al7.x86_64 4.19.91-19.1.al7.x86_64 4.19.91-21.al7.x86_64 4.19.91-22.2.al7.x86_64 4.19.91-23.al7.x86_64 4.19.91-24.al7.x86_64 4.19.91-24.1.al7.x86_64 4.19.91-25.1.al7.x86_64 4.19.91-25.3.al7.x86_64 4.19.91-25.6.al7.x86_64 4.19.91-25.7.al7.x86_64 4.19.91-25.8.al7.x86_64 4.19.91-26.al7.x86_64 4.19.91-26.1.al7.x86_64 4.19.91-26.4.al7.x86_64 4.19.91-26.6.al7.x86_64 5.10.23-5.al8.x86_64 5.10.60-9.al8.x86_64 5.10.84-10.2.al8.x86_64 5.10.84-10.3.al8.x86_64 5.10.84-10.4.al8.x86_64 5.10.112-11.al8.x86_64 5.10.112-11.1.al8.x86_64 5.10.112-11.2.al8.x86_64 5.10.134-12.al8.x86_64 5.10.134-12.2.al8.x86_64

前提条件

已在需要网页防篡改防护的服务器上安装云安全中心Agent。具体操作，请参见安装Agent。

步骤一：购买防篡改授权数

一个网页防篡改授权数可防护一台服务器。在使用网页防篡改功能前，需要确保当前阿里云账号下拥有足够的防篡改授权数。

登录云安全中心控制台。在左侧导航栏，选择防护配置 > 主机防护 > 网页防篡改。
根据您是否购买过网页防篡改授权数，执行以下操作。
- 未购买网页防篡改授权数
  1. 在网页防篡改页面，单击立即升级。
  2. 根据您使用的云安全中心版本，参考以下步骤操作。
    - 免费版：在请选择适合您的产品版本面板，选择任意版本。在立即购买面板，选择版本、保有服务器台数等配置，您需将网页防篡改选择是，并按照您需要网页防篡改防护的服务器数量选择防篡改授权数量。支持单独购买网页防篡改服务，您只需将版本选择置为仅采购增值服务即可单独购买网页防篡改服务。关于选择云安全中心版本和其他购买配置的更多信息，请参见购买云安全中心。
    - 付费版本：在请选择适合您的产品版本面板，单击升级，在立即升级面板，将网页防篡改选择是，按照需要网页防篡改防护的服务器数量选择防篡改授权数量。
  3. 单击立即购买并完成支付。
- 已购买过网页防篡改授权数
  如果网页防篡改授权数为0或不足时，您可以在网页防篡改页面右上角，单击购买配额，购买足够数量的防篡改授权数。

步骤二：为服务器添加防护

一台服务器只能添加一次防护，如果您需要防护服务器下的多个目录，可以为已创建的网页防篡改服务器添加多个防护目录。

登录云安全中心控制台。在左侧导航栏，选择防护配置 > 主机防护 > 网页防篡改。
首次使用网页防篡改功能时，单击创建网页防篡改。
如果非首次使用，在网页防篡改页面的防护管理页签，单击为服务器添加防护。
在创建网页防篡改面板的服务器列表中，选中要开启网页防篡改防护的服务器，单击下一步。

配置网页防篡改防护规则，单击开启防护。

默认采用白名单模式，白名单模式设置需要防护的文件类型，黑名单模式设置需排除防护的文件类型。如有需要，您可以单击黑名单模式切换到黑名单模式。

白名单模式

白名单模式下，防护目录下的已添加到防护规则中的防护文件被修改时，云安全中心会拦截或告警。


配置项	说明
防护目录	填写您要防御的服务器的目录。指定防御目录后，修改防御目录下的文件名称、内容或者文件属性时，云安全中心将根据进程白名单、防护模式，决定是否拦截。填写格式为：/目录名称/，例如：`/tmp/`。
防护文件类型	选择或输入您要防护的文件类型。您可以在下拉列表选择要防护的文件类型，也可以在此处手动输入下拉列表中未列出的文件类型。
防护模式	拦截模式：云安全中心会主动拦截异常进程、异常文件变动，确保您服务器网站和文件的安全。告警模式：云安全中心会对识别到的异常进程、异常文件变动进行告警。重要如果服务器操作系统和内核版本不在白名单功能支持的操作系统和内核版本范围内，告警模式将不生效，防护模式选择告警模式，云安全中心依然会拦截异常进程。
本地备份目录	防护目录的默认备份存储路径。安全中心为您指定的默认备份目录为`/usr/local/aegis/bak`（Linux服务器）和`C:\Program Files (x86)\Alibaba\Aegis\bak`（Windows服务器），您可手动修改默认的备份路径。

配置示例

例如：防护目录填写/tmp/、防护文件类型选择XML、防护模式选择拦截模式，则表示当tmp目录下XML格式的文件被修改时，云安全中心将会拦截该操作。

黑名单模式

黑名单模式下，防护目录下已添加到防护规则的子目录、文件类型、指定文件被修改时，不会告警或拦截；未添加到防护规则的子目录、文件类型、指定文件被修改时，将会告警或拦截。


配置项	说明
防护目录	填写您要防御的服务器的目录。指定防御目录后，修改防御目录下的文件名称、内容或者文件属性时，云安全中心将根据进程白名单、防护模式，决定是否拦截。填写格式为：/目录名称/，例如：`/tmp/`。
排除子目录	输入无需防护的子目录的路径。填写格式为：子目录名称/，例如：`dir1/dir0/`。
排除文件类型	选择或填写不需要防护的文件类型。
排除指定文件	输入不需要防护的文件。填写格式为：子目录名称/文件，例如：`dir2/file3`。
防护模式	拦截模式：云安全中心会主动拦截异常进程、异常文件变动，确保您服务器网站和文件的安全。告警模式：云安全中心会对识别到的异常进程、异常文件变动进行告警。重要如果服务器操作系统和内核版本不在白名单功能支持的操作系统和内核版本范围内，告警模式将不生效，防护模式选择告警模式，云安全中心依然会拦截异常进程。
本地备份目录	防护目录的默认备份存储路径。安全中心为您指定的默认备份目录为`/usr/local/aegis/bak`（Linux服务器）和`C:\Program Files (x86)\Alibaba\Aegis\bak`（Windows服务器），您可手动修改默认的备份路径。

重要排除子目录、排除文件类型和排除指定文件之间为或的关系。

配置示例

例如：防护目录填写/tmp/、排除子目录填写dir1/dir0/、排除文件类型选择txt、排除指定文件填写dir2/file3、防护模式选择拦截模式，则表示只有tmp目录下的dir1子目录下dir0子目录下的文件、txt（扩展名）类型的文件、或者dir2子目录下的file3文件可以被修改，tmp目录下的其他任何文件或者目录都无法被修改（修改操作将被云安全中心拦截）。

在网页防篡改页面的防护管理页签下的服务器列表中，定位到刚创建网页防篡改防护的服务器，单击防护状态列的

图标，为该服务器开启网页防篡改保护。

首次开启防护时，目标主机的服务状态列将会显示为启动中，并显示启动进度条。请耐心等待数秒，启动成功后服务状态将会显示为正在运行。

以下为服务状态的说明：


服务状态	说明	建议
启动中	网页防篡改防护服务正在开启。	首次开启防护时，目标主机的服务状态将会显示为启动中。请耐心等待数秒。
正在运行	防护状态已成功开启，服务正常运行中。	无
异常	防护开启异常。	将鼠标移动到目标服务器的服务状态上，查看发生异常的原因并单击重试。
未启动	防护状态为未开启。	需将防护状态设置为开启。

步骤三：查看防护状态

登录云安全中心控制台。在左侧导航栏，选择防护配置 > 主机防护 > 网页防篡改。
在网页防篡改页面的防护状态页签下，查看防护状态。
- 网页防篡改统计数据
  您可以在统计数据总览模块中查看当天以及最近15天内发生变动的文件总数、已被防护的服务器数量和目录数量、已被网页防篡改功能阻断的可疑进程数量、已被加入到白名单中的进程数量、您当前账号下已购买的网页防篡改授权总数。
- 防篡改防护文件类型分布数据
  防护文件类型包括TXT、PNG、MSI、ZIP等文件类型。您也可以手动添加需要防护的其他文件类型。
  说明目前防护文件类型不受限制，所有文件类型都支持网页防篡改防护。
- 文件变动数Top 5
  该模块展示了最近15天内检测到的变动次数排名前5的文件名称和文件所在路径。
- 阻断进程Top 5
  该模块展示了最近15天内检测到的被防篡改服务阻断的排名前5的异常进程名称和数量。
- 网页防篡改告警详情列表
  该列表展示了网页防篡改功能为您资产拦截到的所有异常文件变动及其详细信息，包括告警等级、告警名称、受影响资产、异常变动文件的路径、异常进程名称、防御状态等信息。
  说明
  如果告警尝试次数（进程写文件次数）超过100次，建议您及时关注并处理该告警。
  目前告警等级只有中危等级。
  防御状态只有已防御一种状态，表示网页防篡改功能在检测到异常文件变动事件时，已及时为您拦截执行该异常变动的进程。如果您确认被拦截的异常变动为正常业务需求，可通过白名单功能恢复该进程的正常运行。详细内容，请参见（可选）步骤四：加入白名单。

（可选）步骤四：加入白名单

网页防篡改功能检测到异常文件变动时，会实时拦截进程对文件的修改操作。如果您确认此进程是正常业务进程，且希望可以修改被防御的文件，可以把此进程加入进程白名单，使其可以正常修改防御文件。

您的服务器需要在白名单功能支持的操作系统和内核版本中，才能正常使用该功能。具体支持的范围，请参见白名单功能支持的操作系统和内核版本。

登录云安全中心控制台。在左侧导航栏，选择防护配置 > 主机防护 > 网页防篡改。
在网页防篡改页面的防护状态页签下，将正常业务进程加入白名单。
重要黑客有可能利用白名单进程入侵主机，建议您根据业务场景谨慎录入白名单。
- 单个告警事件加白名单
  1. 在防护状态的告警事件列表中，定位到您要加入白名单的异常进程，单击操作列的处理。
  2. 在弹出的对话框中，处理方式选择加白名单，然后单击确定。
    如果您需要对不同服务器中存在的同一个进程进行加白、或者对同一个服务器中不同文件路径下的同一个进程进行加白，请勾选同时处理存在相同进程的服务器。
- 多个告警事件批量加白名单
  1. 在防护状态的告警事件列表中，选中多个您要加入白名单的异常进程。
  2. 单击列表底部的加入白名单，在对话框中单击确定。
  您还可以单击进程白名单下方的数字进入进程管理面板，单击右上角的录入白名单，填写进程路径、服务器名称/IP将多个异常进程批量加入白名单。
- 查看、取消白名单
  您还可以单击进程白名单下方的数字进入进程管理面板，查看所有已加入白名单的异常进程，包括该进程所在的服务器、进程路径、尝试写文件次数等信息。
  如果您需要将异常进程从白名单中移除，可以单击操作列的取消白名单进行移除白名单操作。您也可以选中多个白名单后，单击下方取消白名单进行批量移除白名单操作。

云安全中心：网页防篡改