全部产品
Search
文档中心

云安全中心:检测响应常见问题

更新时间:Jun 29, 2026

本文汇总了检测响应的常见问题。

如何判断资产中是否存在挖矿威胁?

如果您服务器的CPU使用率明显升高,例如达到80%以上,并且出现未知进程持续向外发送网络包的情况,可以判定您的服务器中存在挖矿威胁。

云安全中心防护的资产被挖矿程序入侵时,云安全中心会向您发送告警短信或邮件,您可以在安全告警页面云工作负载保护平台(CWPP)页签处理挖矿事件告警。如果挖矿程序关联了其他告警事件,例如矿池通信行为访问恶意域名等,建议您一并处理关联的告警事件。如何查看和处理关联告警,请参见评估及处理安全告警

未开启病毒拦截,我的服务器遭受挖矿攻击,该如何处理?

您可以参考以下步骤处理挖矿告警并开启恶意主机行为防御能力。

说明

仅支持云安全中心防病毒版、高级版、企业版和旗舰版用户处理挖矿告警。

  1. 登录云安全中心控制台

  2. 在左侧导航栏,选择检测响应 > 告警。在控制台左上角,选择需防护资产所在的区域:中国内地非中国内地

  3. 安全告警页面云工作负载保护平台(CWPP)页签,定位到相应告警,单击其操作列的处理

  4. 挖矿程序-恶意软件对话框,选择病毒查杀

  5. 单击立即处理,完成挖矿告警事件处理。

  6. 在左侧导航栏,选择系统设置 > 功能设置。在控制台左上角,选择需防护资产所在的区域:中国内地非中国内地

  7. 系统设置页面,定位到设置页签主机防护设置 子页签的主动防御区域,打开恶意主机行为防御开关,开启病毒拦截功能。

我不小心将挖矿告警加入了白名单,该如何取消?

  1. 登录云安全中心控制台

  2. 在左侧导航栏,选择检测响应 > 告警。在控制台左上角,选择需防护资产所在的区域:中国内地非中国内地

  3. 安全告警页面云工作负载保护平台(CWPP)页签,将筛选条件改为已处理,可以看到已经处理过的全部告警。

  4. 定位到相应告警,单击其操作取消加白,即可恢复该告警。

如何确认病毒自动拦截已生效?

登录云安全中心控制台系统设置页面开启了恶意主机行为防御功能后,在左侧导航栏,选择检测响应 > 告警。在控制台左上角,选择需防护资产所在的区域:中国内地非中国内地安全告警页面云工作负载保护平台(CWPP)页签,单击精准防御,如果筛选出的告警防御状态为拦截成功,说明病毒自动拦截已生效。

云安全中心如何发现黑客入侵行为?

云安全中心发现的所有黑客入侵行为,是通过扫描检测和阿里云安全工程师分析客户流量数据并加以验证得出的。

常见的黑客入侵行为有哪些?

云安全中心提供的告警检测项已经覆盖了常见的黑客入侵行为,包括后门、暴力破解、挖矿等。详细内容,请参见CWPP(云工作负载)安全告警概述

phpinfo为什么会产生告警,是否为误报?

不是误报。

phpinfo包含大量敏感信息,例如网站绝对路径等,具有较高的风险性,可能存在被黑客利用的风险。大部分黑客第一步都会上传phpinfo从而为进一步渗透获取更多信息。如果您确认该文件是您业务所需的正常文件,您可以执行下述操作:

  1. 登录云安全中心控制台

  2. 在左侧导航栏,选择检测响应 > 告警。在控制台左上角,选择需防护资产所在的区域:中国内地非中国内地

  3. 安全告警页面云工作负载保护平台(CWPP)页签,处理该告警时选择加白名单

云安全中心是否会自动隔离WebShell文件?

不会。由于WebShell文件可能涉及您业务方面的信息,需要您判断后手动隔离。被隔离的文件可以在文件隔离箱中找到,且30天内可以恢复。关于文件隔离箱的更多信息,请参见评估及处理安全告警

云安全中心WebShell检测的原理是什么?

云安全中心采用以下扫描方式,检测PHP、ASP、JSP等类型的网站脚本文件。

  • 落盘扫描:指文件上传或下载到服务器上,被感知到了落盘行为从而进行的文件扫描检测,发现恶意的文件时上报告警。

  • 实时监测Web目录。

  • 定时扫描Web目录。

安全告警可以将哪些对象加入白名单?

安全告警处理功能支持对恶意软件类的告警进行加白名单的操作。加入白名单操作仅针对当前告警事件中的访问源进行加白。常见的支持加入白名单的告警类型如下:

告警类型

加白对象

恶意软件

基于文件MD5值加白

异常登录

对异常登录的IP加白

访问恶意IP、矿池通信行为

基于IP加白

访问恶意域名

基于域名加白

访问恶意下载源、主动连接恶意下载源

基于URL加白

WebShell

基于Web目录配置加白

恶意脚本

基于MD5和路径加白

云产品威胁检测

支持在控制台配置加白规则

进程异常行为

基于命令行加白

持久化后门

基于文件MD5和特征加白

敏感文件篡改

基于文件路径加白

应用入侵事件

基于命令行加白

Web应用威胁检测

基于域名或URL加白

异常网络连接

基于进程命令行、目标IP、目标端口加白。如果有部分字段缺失,仅对已有字段加白。

为什么某些告警状态为已过期数据?

如果告警最后一次发生时间距离现在超过30天,云安全中心会将该告警状态置为已过期。如果后续再次检测到该告警发生,云安全中心会更新该告警发生时间为最新检测到的时间,并将该告警的状态置为未处理

为什么可疑域名访问告警首次发生时间和检出时间不一致?

云安全中心在接收到DNS解析数据时,需要使用算法对DNS解析数据做分析和处理,且收到的DNS解析数据本身也会存在一定的延迟。故可疑域名访问告警的首次发生时间会比检出时间晚,该时间差在5个小时内为正常情况。

云安全中心检测和告警异常登录功能的原理是什么?

在服务器安装云安全中心客户端后,云安全中心异常登录功能可以检测您服务器上的登录行为,并对非常用登录地的登录行为进行告警。在云安全中心控制台安全告警页面云工作负载保护平台(CWPP)页签,可以查看服务器登录异常相关告警。

云安全中心客户端通过定时收集您服务器上的登录日志并上传到云端,在云端进行分析和匹配。如果发现在非常用登录地、非常用登录IP、非常用登录时间、非常用登录账号的登录成功事件,将会触发事件告警。以下内容说明如何判定不同IP的具体登录行为:

  • 当云安全中心首次应用于您的服务器时,由于服务器未设置常用登录地,这段时间内的登录行为不会触发告警。

  • 当某个公网IP第一次成功登录服务器后,云安全中心会将该IP地址的位置记为常用登录地,并将从该时间点往后顺延24小时内的所有公网登录地都记为常用登录地。当超过24小时后,所有不在上述常用登录地的登录行为均被视为异地登录进行告警。

  • 当某个IP被判定为异地登录行为,只会有第一次登录行为进行短信告警。如果该IP成功登录6次或6次以上,云安全中心默认将此IP的地点记录为常用登录地。

    说明

    异地登录只针对公网IP生效。

以下是关于非常用登录IP的告警策略:

  • 云安全中心会对某个异地IP的第一次登录行为进行短信告警。如果该IP持续登录,则只在控制台进行告警,直到该IP地址登录满6次被自动记录为常用登录地。

  • 如果您使用的是云安全中心高级版、企业版或旗舰版,您可以针对服务器设置常用登录地、常用登录IP、常用登录时间、常用登录账号,对上述常用登录地、常用登录IP、常用登录时间、常用登录账号之外的登录行为均提供告警。您自定义的登录规则生效优先级高于异地登录判断。

云安全中心支持哪些异常登录告警?

支持异常登录告警的检测项如下:

  • 恶意IP登录(服务器、FTP应用、MySQL、SQL Server等)

  • 后门账户登录

  • 弱口令账户登录

  • 疑似对外发起登录扫描活动

  • 异常位置登录

  • 异常账户登录

  • ECS被暴力破解成功(多个无效用户、RDP、SSH)

  • ECS登录后执行异常指令序列(SSH)

  • ECS非常用的时间、登录地、账号和IP的登录

以上告警检测项检测原理的详细内容,请参见安全告警检测项说明

正常登录服务器,云安全中心提示异常登录,如何避免这种情况?

通过使用云安全中心控制台防护配置 > 主机防护 > 主机规则管理中的常用登录管理功能,设置常用登录地、登录IP、时间及账号,支持对于例外的登录行为进行告警。支持手动添加和自动更新常用登录地,对指定资产的异地登录行为进行告警。

误操作触发了ECS被暴力破解登录告警,我该怎么办?

由于服务器密码复杂度较高,可能会存在多次输错ECS服务器登录密码后,才成功登录服务器的情况。该行为会被云安全中心的防暴力破解模型判定为ECS密码被暴力破解,并产生ECS被暴力破解登录告警。您在确认是误操作触发该告警后,可以忽略该告警。忽略告警的具体操作,请参见评估及处理安全告警

设置了常用IP、时间及账号,正常登录时提示异常登录怎么办?

这种情况应先判断告警类型是否为非合法IP登录、非常用地登录还是非常用账号登录。登录IP、登录地、账号、时间都是影响登录告警的因素,不存在优先级关系,只要其中一个因素存在异常,都会触发告警。

产生异常登录告警时,登录是成功了还是被拦截了?

产生异常登录告警表示已经登录成功,但是这个登录行为被云安全中心判定为可疑行为,所以产生该可疑行为的告警事件。

异常登录告警已确定为黑客登录,我该怎么办?

  1. 登录云安全中心控制台在左侧导航栏,选择检测响应 > 告警。在控制台左上角,选择需防护资产所在的区域:中国内地非中国内地

  2. 安全告警页面云工作负载保护平台(CWPP)页签,定位到该告警并单击操作列的处理,选择阻断12小时并单击立即处理,即可立马阻断该黑客的入侵。建议您立即修改密码,并检查服务器是否存在其他未知账号和其他未知公钥,防止SSH免密登录。

出现ECS登录后执行异常指令序列(SSH)告警时,该操作是否已经被执行?

该命令已经被执行,请您及时更新服务器登录密码,并检查服务器是否有其他异常行为,例如启动了未知进程。

发生异常登录告警时,对应服务器应该查看什么日志?

您可以查看服务器/var/log/secure目录下的信息。例如执行命令grep 10.80.22.22 /var/log/secure

如何查看服务器被暴力破解的次数或拦截情况?

登录云安全中心控制台在左侧导航栏,选择检测响应 > 安全告警网络防御告警区域,可以查看SSH暴力破解拦截成功的信息。

说明

如果已开通 Agentic SOC 服务,左侧导航栏入口将变更为Agentic SOC > 安全告警

如何预防服务器被暴力破解?

您可以通过设置常用登录IP或采取证书登录方式,避免该情况发生。设置常用登录IP的方法,请参见安全告警设置

防暴力破解支持防护Web应用或网站吗?

不支持。

防暴力破解支持对使用RDP和SSH协议登录的服务器进行防护,不支持防护Web应用或网站。

被暴力破解成功之后该怎么处理?

如果您的服务器密码被暴力破解成功,攻击者很有可能已经入侵并登录您的服务器并留下恶意程序。您可以登录云安全中心控制台在左侧导航栏,选择检测响应 > 告警。在控制台左上角,选择需防护资产所在的区域:中国内地非中国内地安全告警页面云工作负载保护平台(CWPP)页签查看是否存在暴力破解成功相关的告警。

如果您的资产中存在ECS被暴力破解成功类似告警,则表示您的相应服务器已被暴力破解成功,建议您尽快参考以下步骤加固您的服务器安全:

  • 处理被暴力破解成功相关告警

    安全告警页面云工作负载保护平台(CWPP)页签,单击告警操作列的处理,在安全告警页面选择阻断后,单击立即处理。云安全中心将为您生成安全组防御规则,拦截恶意IP的访问。更多信息,请参见评估及处理安全告警

  • 修改服务器用户密码

    请尽快更换您服务器被暴力破解成功的用户密码,建议您使用复杂密码。

  • 使用云安全中心基线检查功能进行风险检测

    使用云安全中心的基线检查功能全面检测您的服务器安全,并根据建议处理风险项。 如何开通,请参见开通基线风险检查功能

为什么修改弱口令后仍然出现密码暴力破解告警?

修改后的弱口令在系统中生效的时间为T+1,在修改未生效的这段时间内,云安全中心仍会上报密码暴力破解告警。例如,您在2023年01月15日10:00时修改了登录密码,基线检测模型会在当天24:00左右采集修改后的登录密码信息并更新弱口令数据库,异常登录检测模型在2023年01月15日24:00点之前在弱口令数据库中加载的是修改前的密码,所以在这个时间段密码暴力破解告警仍会存在。

您在确认已修改弱口令且基线检查未扫描出弱口令风险时,可以忽略该告警。

如果您的服务器登录密码已经被暴力破解,建议您及时对服务器进行安全加固。详细内容,请参见被暴力破解成功之后该怎么处理?

为什么安全组或者防火墙规则已经屏蔽了RDP服务的3389端口,但RDP还是有被暴力破解的记录?

由于Windows登录审核机制的原因, $IPC 、RDP、SAMBA服务的登录审核过程被记录在同一个日志里面,且未区分具体登录方式。所以,在已经屏蔽了RDP服务端口还出现RDP被暴力破解记录时,您需要检查是否还开启了其他两个服务。

检查方法是查看ECS是否有监听135、139、445等端口并且外网IP均可访问,并且查看Windows安全类日志是否在该时段有对应的登录记录。

ECS登录弱口令是指系统层面的RDP或者SSH扫描吗?

弱口令包含两种,一种是RDP和SSH的弱口令,一种是类似CMS管理员后台登录的弱口令。

攻击分析页面的数据来源是哪些产品?

攻击分析页面展示的数据,是云安全中心自动为您识别并拦截基础攻击事件后统计的攻击数据,以及来自阿里云Web应用防火墙的攻击数据。这些攻击数据是云安全中心和Web应用防火墙防护的云资产的相关数据。您可以在资产中心页面查看哪些资产受到云安全中心的防护。

Windows服务器持续收到病毒告警,如何处理?

  • Windows服务器持续收到病毒告警时,建议您先判断是否为误报。

  • 如果病毒文件路径位于Windows系统隐藏目录(如$Recycle.Bin回收站目录),您可能无法在文件系统中直接搜索到该路径。需要以管理员身份开启显示隐藏文件和系统文件后才能查看。云安全中心Agent通过底层扫描获取文件路径,不受文件系统可见性限制。

  • 若确认告警为误报或文件已被清除,请参考本文档中我不小心将挖矿告警加入了白名单,该如何取消?类似的取消加白操作,或直接忽略该告警。

设置了常用登录规则后,在非常用地区或IP登录没有收到告警,如何处理?

如果您配置了常用登录地、常用登录IP、常用登录时间或常用登录账号后,在非常用地区或IP登录时没有收到预期告警,建议从以下方面排查:

  • 确认规则是否已生效。新增的常用登录规则可能需要一段时间后才会生效,请耐心等待。

  • 确认告警通知方式是否正确配置。请检查您的短信和邮件通知设置是否开启。

  • 确认触发登录的服务器是否在规则覆盖范围内。

  • 安全告警页面云工作负载保护平台(CWPP)页签,将筛选条件改为已处理,查看是否有已处理的告警记录。

服务器上发现疑似诱饵文件(如.aegis目录下的!~readme.txt),是被入侵了吗?

/root/.aegis/!~readme.txt是云安全中心主动部署的诱饵文件,用于检测勒索病毒行为。当勒索软件尝试加密该文件时,云安全中心会捕获该行为并触发防勒索告警。

该文件是正常的安全防护文件,并非服务器被入侵的迹象,不会影响服务器的正常运行,请勿删除。

告警处理时只有加白名单和忽略选项,没有结束进程和病毒查杀选项,如何处理?

某些告警在处理时只有加白名单忽略本次选项,缺少结束进程病毒查杀选项。出现这种情况的原因通常包括:

  • 未开通付费版云安全中心。

  • 该类型的告警不支持结束进程病毒查杀

  • 告警为历史数据或已过期的告警事件。

如何判断告警是否由阿里云官方扫描器触发或确认告警短信来源?

  • 判断方法

    核对告警详情中的源 IP 地址。若源 IP 属于阿里云云安全中心官方扫描 IP 段(例如 47.110.180.32/27),则确认为官方服务触发的正常扫描行为。若 IP 不在该范围内,则非官方服务调用,建议核实是否为业务方、第三方工具使用,或检查是否存在 AK 泄露风险。

  • 短信来源确认

    若收到疑似云安全中心的告警短信但控制台无对应告警,或怀疑短信真实性,应通过核对短信发送号码及控制台实际告警记录来确认。若控制台无相关安全事件且账号未出现 AK 泄露,通常可判定为非当前账号云安全中心发出的短信(可能是误报、其他产品或诈骗短信),建议以控制台实际数据为准。

为什么云安全中心网络防御告警数量与云防火墙拦截记录不一致?

两者数据差异的主要原因如下:

  • 统计范围不同:云防火墙统计所有网络层拦截事件(含 ACL 策略、IPS 入侵防御等),而云安全中心仅聚焦于特定安全威胁(如 SSH 暴力破解、Web 应用攻击等)的防御事件。

  • 数据聚合机制不同:云安全中心会对同一源 IP 在短时间内发起的多次攻击进行聚合展示(合并为一条告警),而云防火墙通常记录每一次独立的拦截日志。

  • 时间窗口与延迟:两端控制台选择的时间范围可能不一致,且云安全中心数据处理存在一定同步延迟。

云安全中心报警后服务器资源是否会被删除或关停?

不会。

点击处理可疑进程无效或只有加白/忽略选项怎么办?

原因

未开通付费版云安全中心,或告警对应的进程已不再运行/文件已被删除。

解决方案

  • 开通高级及以上版本以使用自动处置功能。

  • 若不开通,需自行登录服务器手动处置:

    1. 记录告警中的进程号(PID),执行以下命令强制终止进程:

      kill -9 <进程号>
    2. 若因恶意程序自我保护导致无法结束,先执行以下命令解除文件保护,再强制终止进程:

      chattr -i /path/to/file
    3. 检查 /etc/crontab~/.ssh/authorized_keys 清理残留。

  • 若确认威胁已清除,可选择忽略已手工处理来关闭告警。

疑似权限提升告警如何排查与处理?

  1. 确认是否为正常运维操作:检查在告警时间点附近,是否有管理员对主机执行了 sudo、su 或安装软件等提权操作。若是计划内操作,可忽略或加白。

  2. 核查可疑进程与文件:登录云安全中心控制台,进入该告警详情页,查看进程链和文件路径。重点检查是否有未知二进制文件、脚本或被篡改的系统命令。若伴随异常登录或暴力破解,需结合异常登录告警一并分析。

  3. 处置建议

    • 若确认为恶意行为,立即隔离资产,阻断可疑网络连接,并使用云安全中心的病毒查杀漏洞管理功能清理后门及修复相关漏洞。

    • 若为误报,在告警详情页点击加白名单

配置 SSH 密钥登录的服务器出现异常登录告警怎么办?

  1. 通过云安全中心检测响应 > 告警页面查看异地登录告警详情,获取登录 IP 和地域信息。

    说明

    如果已开通Agentic SOC服务,左侧导航栏入口将变更为Agentic SOC > 告警

  2. 登录服务器检查 /var/log/secure 日志,确认该 IP 是否有登录成功的记录。

  3. 若日志显示密钥登录成功,需排查服务器中的 SSH 密钥是否存在未知异常,建议创建新的密钥对并重新配置使用,同时重置服务器登录密码以保障安全。

如何通过 API 接口导出云安全中心告警清单?

  1. 调用 ExportSuspEvents - 导出异常告警信息 接口生成导出任务 ID。

  2. 调用 DescribeSuspEventExportInfo - 告警事件导出信息查询 接口并传入任务 ID。

  3. 获取返回结果中的 link 字段(下载链接)。

  4. 通过浏览器访问该链接,将告警清单以 zip 格式下载到本地。

处理挖矿告警时报错 Failed to list deduct package 怎么办?

需创建云盘快照并授权,以便排查问题。

重装系统后如何确认云安全中心是否仍检测到异常?

查看云安全中心告警页面及服务器 CPU 资源占用情况。若最近几小时未检测到挖矿通信且 CPU 资源占用恢复正常,则说明异常已消除。

未检测到挖矿告警但 CPU 占用高怎么办?

  1. 检测响应 > 告警页面处理掉所有历史告警,然后再进行查杀。

    说明

    如果已开通Agentic SOC服务,左侧导航栏入口将变更为Agentic SOC告警

  2. 若查杀未发现病毒,说明病毒已清理干净。

  3. 检查是否存在 Java 应用执行可疑编码命令和恶意脚本代码执行的告警,建议联系开发人员修复代码中的漏洞后继续观察。

如何确认云安全中心告警是由自身运维操作触发的?

由于告警无法确认具体访问 IP,建议通过以下方式验证:

  1. 核对告警详情中的用户名和操作时间,判断是否与自身运维行为一致。

  2. 检查告警详情中的进程路径(如 /usr/bin/bash)及父进程(如 sshd-session)。

  3. 结合登录日志进行验证。

  4. 处理告警后测试自身连接是否受影响,以判断关联性。

  5. 在告警详情页点击授权安全AI助手分析告警详情。

如何处理 StarOPS 定时巡检任务引起的告警?

查看云安全中心告警详情中的其他告警相关信息,将告警时间、告警扫描目录等与 StarOPS 定时巡检任务进行比对。若确认是 StarOPS 执行的命令导致的告警,则判定为误报,可以忽略该告警并观察后续情况。

实例已退订/释放但云安全中心仍产生安全告警怎么办?

  1. 登录云安全中心控制台,参考管理服务器中说明解绑对应服务器。

  2. 告警页面,服务器实例若存在关联未处理告警,统一处理成忽略我已手工处理

告警内网 IP 攻击的原因及排查方法

原因

云安全中心基于主机层面的行为分析检测到源 IP 对服务器发起了符合攻击特征的行为(如暴力破解、端口扫描、漏洞利用等),无论源 IP 是公网还是内网,只要行为异常均会触发告警。

可能场景

  • 同账号其他 ECS 实例被入侵或配置错误发起内部攻击。

  • 通过云企业网(CEN)、VPC 对等连接或共享 VPC,其他 VPC 内的实例通过内网访问。

  • 本地 IDC 通过专线接入云上。

  • 高频内部业务请求被误判。

排查与处理

  • 在 ECS 控制台确认 IP 归属,检查是否有 CEN、对等连接等网络打通配置。

  • 登录云安全中心控制台查看具体的攻击类型、时间和端口以判断是否误报。

  • 若确认为可信内部业务,可在 IP 拦截策略中禁用该条策略并将 IP 加入白名单。

  • 若不确定来源,建议保持拦截并检查目标服务器安全组,仅开放必要端口。

如何确认恶意代码是否由特定人员植入?

云安全中心主要聚焦于威胁检测,无法直接定位恶意代码的具体植入者。若已启用操作审计(ActionTrail)功能,建议结合告警发生时间窗口,回溯分析前后关联的操作记录以辅助溯源。

云账号被创建异常 RAM 用户(子账号)怎么办?

原因

AccessKey 触发了阿里云安全风控规则,检测到“异常的创建高权限子账户行为”,意味着 AccessKey 可能已泄露。

处理步骤

  1. 在 RAM 访问控制台删除状态为已冻结的异常 RAM 用户。

  2. 立即禁用并删除所有非必要的 AccessKey,为业务创建新的 AccessKey 并更新配置。

  3. 登录云安全中心控制台查看安全告警页面确认是否有其他入侵痕迹。

  4. 为主账号及所有 RAM 用户启用 MFA 多因素认证。

仅允许特定内网 IP 且通过 VPN 访问的场景下,异常登录告警是否为误报?

风险评估

结合安全组策略(仅允许特定内网 IP)及 VPN 访问控制(仅本人可远程),被外部恶意攻击的概率较低。

原因

告警可能是由于日志采集问题、非交互式登录或误报(正常业务波动触发异常检测)导致。

建议

联系运维人员确定IP正常后,在云安全中心对该 IP 进行加白名单处理,做好快照备份,并观察后续是否仍有类似告警。

云安全中心检测到后门后网站无法访问怎么恢复?

  1. 登录云安全中心控制台,检测响应 > 告警云工作负载保护平台(CWPP)页签中查看具体告警详情。

    说明

    如果已开通Agentic SOC服务,左侧导航栏入口将变更为Agentic SOC > 告警

  2. 若确认为后门文件,先对 ECS 实例创建快照备份,再手动删除或隔离异常文件,并检查网站目录及配置文件是否完整。

  3. 处理完成后,重启 Web 服务尝试恢复访问。

ECS 实例 Python 环境反复损坏导致网站不可用怎么办?

  1. 登录云安全中心控制台查看告警详情,确认是否存在发现后门(Webshell)文件的紧急告警。

  2. 若确认为恶意文件,可选择病毒查杀的处理方式,立即终止病毒进程并将病毒文件移至隔离区。

  3. 处理后排查入侵原因并加固系统,防止再次被植入后门。

  4. 若清理后门后 Python 环境仍无法恢复,可能需要进一步的技术支持介入。

查看 ECS 告警时因实例地域不同导致告警不显示怎么办?

访问云安全中心控制台,点击检测响应 > 告警页面,将区域切换至非中国内地即可查看到位于非中国内地的 ECS 实例告警。

调用 HandleSimilarSecurityEvents 接口报错 InvalidOperationForEvent 怎么办?

原因是该 ECS 服务器当前绑定的是云安全中心免费版授权。云安全中心的隔离文件或结束进程等主动处置功能需要防病毒版及以上版本授权支持,升级授权后即可正常使用相关功能处理告警。

如何查看指定日期的历史安全告警?

登录云安全中心控制台,在左侧导航栏选择检测响应 > 告警,进入告警列表页面。通过设置时间筛选条件(如选择指定日期),即可查询该时间段内的历史安全告警记录。

控制台未展示文件防篡改告警记录怎么办?

  1. 在云安全中心控制台进入检测响应 > 告警云工作负载保护平台(CWPP)页签的页面。

    说明

    如果已开通 Agentic SOC 服务,左侧导航栏入口将变更为Agentic SOC > 安全告警

  2. 确认已选择正确的地域(如中国内地非中国内地)。

  3. 在告警列表中通过筛选服务器 IP 和事件类型进行定位。