当服务器遭遇勒索病毒、挖矿程序等恶意软件攻击时,业务可能瘫痪,数据面临丢失风险。病毒查杀功能通过深度扫描和精准清理,帮助您快速发现并清除服务器上的各类恶意威胁,恢复业务正常运行。
功能概述
病毒查杀功能集成了阿里云机器学习病毒查杀引擎和实时更新的病毒库,通过对服务器的持久化启动项、活动进程、内核模块、敏感目录等关键位置进行扫描,可检测并定位病毒文件路径,有效识别并处理各类威胁。
核心能力
检测范围:覆盖进程、启动项、计划任务、敏感目录等关键扫描项。
处理方式:支持自动隔离、深度查杀、白名单管理等多种处置手段。
扫描方式:支持立即扫描与周期性扫描两种方式。
适用场景
定期安检:按计划进行安全检查与威胁清理。
应急响应:用于安全事件发生后的快速处置与溯源。
合规加固:满足合规审计要求,并对系统进行安全强化。
支持处理的病毒类型和扫描项
病毒类型:勒索病毒、挖矿程序、DDoS木马、木马程序、后门程序、恶意程序、高危程序、蠕虫病毒、可疑程序及自变异木马。
扫描项:活动进程、隐藏进程、Docker进程、内核模块、已安装程序、动态库劫持、服务、计划任务、开机自启动项及敏感目录。
适用范围
扫描病毒
病毒扫描支持立即扫描和周期性扫描两种方式。
登录控制台
登录云安全中心控制台。在左侧导航栏,选择。在控制台左上角,选择需防护资产所在的区域:中国内地或非中国内地。
服务授权
如果首次使用,系统可能会提示您为云安全中心授权服务关联角色。请单击立即授权并按引导完成。
说明授权成功后,云安全中心自动创建服务关联角色AliyunServiceRoleForSas,更多信息请参见云安全中心服务关联角色。
重要授权工程师上机排查:如果您身边没有电脑无法操作,可以购买应急响应服务,由阿里云专业安全技术人员远程协助处理。高风险操作(如深度查杀)需要先创建快照备份才能授权工程师上机,无快照不允许操作。若不知道服务器密码,可在ECS控制台重置实例密码。请注意,工程师无法代替您创建快照,需您自行完成快照创建后再提交授权。
选择扫描方式
立即扫描:单击立即扫描或重新扫描,可用于临时的、紧急的扫描任务。
周期性扫描:单击页面右上角的扫描设置,配置自动化扫描策略,可用于日常自动化巡检。
配置参数
参考下表配置扫描参数后,单击确定或下一步启动任务。
配置项
说明
扫描周期
配置周期性扫描的执行间隔与时间窗口。仅在创建周期性扫描任务时生效。
扫描模式
指定扫描任务的检测范围。
快速扫描:自动检测活动进程、启动项、敏感目录等,通常耗时较短(约 10 分钟左右,具体视服务器性能和文件数量而定)。
自定义目录扫描:扫描指定的目录。支持输入多个绝对路径(换行输入)。自定义目录扫描或全量资产扫描耗时较长,取决于扫描范围和文件数量。
重要单次任务最多支持扫描30,000个文件,超过限制可能导致超时或部分文件未被处理。
单个文件大小上限为10MB。
内存检测
检测内存中的文件恶意代码和隐藏进程。
说明此功能会增加资源消耗和扫描时间,建议在业务低峰期或怀疑存在高级威胁时开启。
扫描范围
指定扫描任务需要覆盖的目标资产。
全部资产:扫描全部符合版本要求的服务器。
按资产:可指定具体的资产。
按分组:扫描该资产分组下的所有资产,如果选中的资产分组新增了资产,新增资产将自动加入扫描范围。
按VPC:扫描该VPC下的所有资产,如果选中的VPC新增了资产,新增资产将自动加入扫描范围。
查看任务进度
(可选)在病毒查杀页面右上角,单击任务管理,查看扫描任务状态和进展。
若任务状态长时间无变化,属于正常现象(扫描耗时取决于服务器数量和文件规模),请耐心等待扫描完成,无需重复单击立即扫描启动新任务。
处理病毒告警
扫描完成后,您需要及时处理发现的病毒告警,以确保服务器安全。
病毒查杀功能扫描出来的告警信息,会同步至安全告警功能模块中。您可以在任一模块处理告警,状态会双向同步。
病毒查杀功能仅用于检测和清除恶意文件,病毒查杀后确认无风险一般不会触发封禁处罚。如果处理后仍存在访问问题,建议排查安全组规则、服务器内部防火墙等其他原因。
处理前检查清单
在选择处理方式前,建议先登录服务器,对可疑文件进行基础信息确认,评估业务影响。
文件信息确认:通过文件路径、签名、哈希值确认是否为病毒(避免误杀系统/业务文件)。
进程与归属检查::检查该文件是否被关键服务调用(如
nginx、mysql相关组件)业务影响评估:确认该文件是否为业务应用的一部分,删除后是否会影响服务。
选择处理方式
在告警列表中,找到需要处理的告警,单击处理,然后根据评估结果选择操作。您可以单击告警左侧的下拉图标查看病毒文件路径等详细信息。
处理方式 | 适用场景 |
深度查杀 | 确认是病毒文件,尤其是勒索、挖矿等顽固病毒。 |
加白名单 | 确认告警为误报,且希望未来不再收到此类告警。 警告 加入白名单后,不会再生成相同告警数据,请谨慎选择。 |
忽略 | 确认告警为误报或已知可接受的风险(如内部授权的渗透测试活动、特定维护窗口期的异常行为)。 |
我已手工处理 | 已登录服务器通过其他方式手动清除了威胁。 |
深度查杀(推荐)
深度查杀由云安全中心安全专家团队经过对该持久化、顽固型病毒进行深度分析、测试后,推出的专项查杀能力。
处理过程:
查杀恶意病毒进程:拦截正在运行的恶意病毒进程,使其无法再次破坏业务运行。
隔离恶意文件:云安全中心会将病毒文件隔离至文件隔离箱中,支持恢复和下载隔离文件。
清除病毒木马的持久化驻留项:针对 Crontab、恶意下载源等持久化方式推出专项分析清除能力,同时引入AI智能学习能力,不断提升安全对抗能力。
处理结果:
状态更新:当前告警状态更新为“已处理”。
创建快照:若选择修复方式为自动创建快照并修复,会为服务器系统盘创建快照作为数据备份。
创建和保留快照会产生费用,费用由快照产品收取,默认采用按量付费(后付费)模式,可通过售前咨询了解费用情况。
若不建立快照备份直接修复,存在误删业务文件导致服务中断的风险,且无法通过快照恢复。
执行深度查杀后,若云安全中心确认病毒已被清除(如无挖矿行为、无恶意进程),系统会自动更新告警状态或取消相关活跃告警。建议在查杀完成后继续观察一段时间,确认威胁未复发。
加白名单
处理结果:
状态更新:当前告警状态更新为“已加白”。
后续影响:当相同告警再次发生,不会再生成新的告警数据,而是更新告警的最新发生时间。
风险提示:
加白后将失去对该特定文件的安全监控,请谨慎操作。如需取消加白,请参见如何取消加白(白名单)。
忽略
处理结果:
状态更新:当前告警状态更新为“已忽略”。
后续影响:此操作不影响后续检测。如果相同威胁再次出现,系统会重新生成告警。
风险提示:
“忽略”仅是一种告警状态管理操作,并不会解决引发告警的实际安全问题。
请在确认告警为误报或已评估并接受相关风险后,再执行此操作,以防遗漏真实攻击。
已手工处理
处理结果:
状态更新:当前告警状态更新为“已处理”。
后续影响:此操作不影响后续检测。如果威胁未被彻底清除,系统仍可能再次生成告警。
风险提示:
“已手工处理”仅是一种告警状态管理操作,用于闭环安全事件。
执行此操作前,请确保您已完成所有必要的修复和加固措施,否则可能导致威胁复发。
管理隔离文件
深度查杀隔离的恶意文件,可以在30天内进行恢复或下载分析,过期系统将自动清除。
在病毒查杀页面右上角,单击文件隔离箱。
找到目标文件,在操作列单击恢复或下载。
恢复:将文件还原到原始路径。请仅在确认文件为误隔离时执行此操作。
下载:将文件下载到本地,用于进一步分析。
应用于生产环境
开通告警通知
在 系统设置 > 通知设置 页面配置告警通知,确保在发现高危威胁时,能通过邮件、短信或钉钉等方式第一时间通知到相关负责人。具体操作,请参见通知设置。
性能优化与应急响应
性能优化:
对于
1核1G等低规格服务器,建议在业务低峰期执行快速扫描,并关闭内存检测。以减少对系统资源的消耗。对于大规模扫描任务,建议分批执行,或在扫描设置中排除大型日志、备份目录,以减少扫描时间。
应急响应流程:
立即隔离:发现高危威胁后,通过安全组阻断异常端口或限制仅允许办公 IP 访问,防止攻击者继续操控服务器。
取证备份:为服务器创建快照,备份关键日志(如
/var/log/secure、/var/log/cron等)。深度查杀:使用云安全中心深度查杀功能,清除恶意进程、Webshell 及持久化项(包括 Crontab 定时任务、SSH 公钥
~/.ssh/authorized_keys、动态库劫持等)。漏洞修复:扫描并修复系统及应用漏洞,修改所有弱口令为强密码。
安全加固:开启恶意主机行为防御进行主动拦截(具体操作参见恶意主机行为防御),限制远程登录 IP,仅开放必要端口。
持续监控:持续观察服务器状态,确认威胁未复发。
根治建议:
若服务器反复感染或病毒深入底层,建议采取以下措施:
备份业务数据后重置系统盘。在 ECS 控制台找到对应实例,在全部操作中选择初始化云盘(需在关机状态下操作)。
重新部署业务前,先完成安全加固(修改密码、关闭不必要端口、安装最新补丁)。
定期创建快照备份,以便受损时快速恢复。
安全加固建议
为防范服务器后续再次遭受病毒攻击,建议对服务器实施必要的加固措施,以此加大攻击者的入侵代价,提高其突破防御的门槛。
开启恶意主机行为防御
在 防护配置 > 主机防护 > 恶意主机行为防御 页面开启此功能,具体操作参见主机防护设置。它能主动拦截主流病毒(木马病毒、勒索软件、挖矿病毒、DDoS木马等威胁)的恶意行为,提供主动防御能力。
服务器安全加固
升级云安全中心版本:企业版和旗舰版支持病毒自动隔离(即病毒自动查杀)功能为您提供精准防御能力,支持更多的安全检测项。
收紧访问控制:仅开放必要的业务端口(如80、443),对管理端口(如22、3389)和数据库端口(如3306)配置严格的IP白名单访问策略。
说明若是阿里云 ECS服务器可参见管理安全组进行操作。
设置复杂服务器密码:为服务器和应用设置包含大小写字母、数字和特殊符号的复杂密码。
升级软件:请及时将应用软件更新至官方最新版本,避免使用已停止维护或存在已知安全漏洞的旧版本。
定期备份:对重要数据和服务器系统盘创建定期快照策略。
说明若是阿里云 ECS服务器可参见创建自动快照策略进行操作。
及时修复漏洞:定期使用云安全中心漏洞修复功能及时修补系统高危漏洞和应用漏洞。
重置服务器系统(谨慎选择)。
如果病毒入侵较深,关联到系统底层组件,强烈建议您在备份重要数据后,重置服务器的系统。具体操作步骤如下:
创建快照备份服务器上的重要数据。具体操作,请参见手动创建单个快照。
初始化服务器的操作系统。具体操作,请参见重新初始化系统盘(重置操作系统)。
使用快照生成云盘。具体操作,请参见使用快照创建数据盘。
挂载云盘到重装系统后的服务器上。具体操作,请参见挂载数据盘。
SSH弱口令入侵应急响应
如果服务器因SSH弱口令被入侵,建议立即执行以下操作:
修改密码:立即将root密码修改为包含大小写字母、数字和特殊符号的复杂密码,并定期更换。
排查后门:检查是否存在异常进程、未知账户、可疑定时任务和SSH公钥,清除入侵痕迹。
封禁攻击源:在安全组中封禁攻击者源IP,限制仅允许指定可信IP进行SSH/远程桌面登录。
彻底清除:如无法确认入侵影响范围,建议备份业务数据后初始化系统盘并重新部署业务。在ECS控制台找到对应实例,点击实例名称,在右上角“全部操作”中找到“初始化云盘”(需在关机状态下操作)。
配额与限制
实践教程
常见问题
加白与忽略相关问题
如何取消加白(白名单)?
病毒查杀模块暂不支持取消加白,可前往,在已处理的告警列表中执行取消加白操作,具体操作可参见取消告警加白。
说明若您购买了Agentic SOC服务,请在左侧导航栏,选择。
加白名单和忽略的区别?
对比项
加白名单
忽略
适用场景
确认为误报,且希望永久不再收到此类告警。
临时性、偶发性误报,或已知可接受的风险。
影响范围
相同特征(相同资产+相同文件路径+相同 MD5)的告警不再生成,仅更新最后发生时间。
仅针对当前告警生效,若相同威胁再次出现,系统会重新生成告警。
可否撤销
可在检测响应 > 安全告警的已处理列表中取消加白。
无需撤销,忽略后系统会继续监控相同威胁。
病毒查杀与告警处理问题
病毒查杀和安全告警有什么区别?
病毒查杀是专注于检测和处理服务器恶意文件的功能模块,提供深度扫描和专项处置能力。
安全告警是一个统一的告警中心,汇总了包括病毒、异常登录、网络攻击、漏洞等在内的所有安全事件。
说明病毒查杀功能扫描出来的告警信息,会同步至安全告警功能模块中。您可以在任一模块处理告警,状态会双向同步。
病毒查杀功能仅用于检测和清除恶意文件,病毒查杀后确认无风险一般不会触发封禁处罚。如果处理后仍存在访问问题,建议排查安全组规则、服务器内部防火墙等其他原因。
为什么病毒处理后反复出现?
病毒处理后复发可能原因如下:
根本原因未解决:服务器存在弱口令、未修复的高危漏洞,导致攻击者可以重复入侵。
清理不彻底:初次处理时未能清除所有潜伏的后门或持久化项。
数据源污染:从带有病毒的备份或镜像恢复了数据。
处理方案:
参照安全加固方案进行安全加固。
完成病毒处理后,建议重启服务器及应用,以中断可能潜伏在内存中的恶意进程。
警告重启服务器会造成服务短暂中断,在此期间依赖该服务器运行的网站、应用程序等将无法正常访问,可能影响用户体验或业务流程的连续性,请在业务低峰期操作。
部分部署在服务器上的应用因未配置自动启动机制或依赖特定环境变量,通常需要手动重新启动,否则会导致应用服务不可用。例如特定版本的消息队列,请提前评估重启方案。
如何处理多条告警(批量处理告警)?
模块扫描出的病毒类告警支持批量处理。
进入病毒查杀列表页,选择需要处理的告警,单击左侧多选框。
单击左下角批量处理按钮,选择合适的处理方式即可。
模块支持批量加白、批量忽略的处理方式来处理告警。
进入安全告警列表,选择需要处理的告警,单击左侧多选框。
单击左下角忽略本次或加白名单按钮即可。
告警显示文件不存在怎么办?
这可能是因为病毒已被其他方式清除或病毒自身清理了痕迹,可在告警列表中点击”忽略”或”已手工处理”来清除此条告警。
为什么病毒删除后告警仍然持续发送通知?
云安全中心会保留历史威胁记录(保留期约1年),即使病毒文件已被清除,历史告警记录仍然存在。如果未对告警执行”忽略”或”已手工处理”等操作,系统可能会继续发送通知。
处理方案:
确认病毒已清除后,在告警列表中对相关告警执行忽略或已手工处理操作。
如已更换公网IP后仍收到旧IP的异常登录告警,确认告警时间在换IP之前可直接忽略,并同步最新资产信息。
重装系统后旧告警仍然显示怎么办?
重装系统后,云安全中心可能仍保留之前的扫描结果和告警记录。为获取最新的安全状态并清除旧告警,请手动触发一次立即扫描或重新扫描。扫描完成后,系统将基于新系统环境更新检测结果,旧的非活跃告警会被自动清理或状态更新。
如何排查持久化后门(病毒反复出现、杀不掉)?
如果病毒反复出现或无法彻底清除,可能是存在持久化后门。建议按以下清单逐一排查:
定时任务:检查 crontab(Linux)或计划任务(Windows),确认是否存在可疑的定时执行项。
启动项:检查开机自启动项(Linux 的 /etc/init.d/、systemd 服务,Windows 的注册表启动项),确认是否存在可疑程序。
SSH公钥:检查
~/.ssh/authorized_keys文件,确认是否存在未知的SSH公钥。
病毒查杀支持在手机阿里云App处理吗?
不支持。病毒查杀及安全告警处理功能仅支持通过云安全中心Web控制台进行操作,手机阿里云App暂不支持病毒查杀和病毒告警处理功能。
扫描与任务执行问题
扫描任务失败或超时怎么办?
任务超时:通常是因为自定义扫描的目录过大。解决方案如下:
尝试将大范围的扫描任务拆分为多个小范围的自定义目录扫描任务,特别关注
/tmp,/var/tmp,/root等高危目录。在扫描配置中排除大型日志或数据目录。
在业务低峰期执行扫描。 ·
任务失败:
检查Agent状态:确保服务器上的云安全中心Agent进程(
AliYunDun)正常运行且网络在线。检查网络连通性:在服务器上测试能否访问云安全中心的服务端地址。
检查系统资源:确保
/tmp等目录有足够的磁盘空间(建议至少1GB),且CPU、内存资源未被耗尽。查看Agent日志:Linux路径为
/usr/local/aegis/aegis_client/aegis_10_*/log/aegis.log。
病毒处理失败怎么办?
刷新页面后重试。若仍失败,可点击“已手工处理”,然后尝试手动删除文件。如果文件无法删除(Operation not permitted),说明可能被加了
i权限,可解锁命令chattr -i <file>后删除。
系统兼容与工具配置问题
病毒库版本在哪里看?
在总览页面查看病毒库更新时间,云端病毒库是自动实时更新的,用户无需手动操作。
病毒查杀页面偶尔进入错误页面(无重新扫描按钮),为什么?
该问题通常是RAM账号权限不足导致。如果首次使用,系统可能会提示您为云安全中心授权服务关联角色,请单击页面上的 Authorize Immediately(蓝色授权按钮)完成授权后即可正常使用。
如果已授权但仍出现错误页面,请确认当前RAM账号是否具备云安全中心的完整访问权限,必要时联系主账号管理员授予相应权限。
能否安装第三方杀毒软件(360/火绒)?
可以,但需注意可能存在的兼容性问题。建议将云安全中心客户端(Agent)的核心进程和目录(请参见客户端进程说明)加入第三方软件的白名单,以防被误杀。
对于Windows服务器持续收到病毒告警的场景,建议使用第三方杀毒软件进行全盘查杀作为补充排查手段。推荐使用 360杀毒极速版 或 火绒杀毒 进行全盘扫描。同时建议检查服务器内部防火墙(如Windows防火墙、iptables、firewalld)配置,排除因防火墙规则导致的访问异常问题。
单击立即授权后页面无响应怎么办?
若单击立即授权后页面持续转圈或无响应,可能是网络波动或浏览器缓存问题。建议刷新页面后重新进入病毒查杀控制台查看授权状态。若仍然失败,请尝试清除浏览器缓存、使用浏览器无痕模式,或更换浏览器后重试。
进入病毒查杀页面显示资产为 0 或提示未绑定付费版本怎么办?
如果进入病毒查杀页面后显示资产为 0 或提示未绑定付费版本,请按以下方式排查:
防护配置:确认目标服务器的防护版本或防护等级已绑定付费版本。具体操作,请参看管理服务器。
包年包月:防病毒版及以上。具体操作,请参见包年包月实例-绑定防护版本。
按量付费:病毒防护及以上。具体操作,请参见按量付费实例-绑定防护等级。
Agent 状态检查:确保目标服务器上的云安全中心 Agent 在线且版本正常。若 Agent 离线,需重新安装或重启 Agent。
告警处理时只有加白和忽略选项怎么办?
某些告警在处理时可能只有“加白”和“忽略”选项,缺少“结束进程”和“病毒查杀”选项。这通常是因为恶意进程仍在运行,系统无法直接处理。
处理方案:先选择“结束进程”(如有),然后刷新页面重新操作,即可获取更完整的处理选项。如仍无法解决,可参考上述“病毒处理失败”的排查方法手动处理后,点击“已手工处理”。