網頁防篡改功能可即時監控伺服器網站目錄或檔案,並可在網站被惡意篡改時通過備份資料恢複被篡改的檔案或目錄,防止網站被植入非法資訊,保障網站正常運行。本文介紹如何使用網頁防篡改功能。
前提條件
已在需要網頁防篡改防護的伺服器上安裝Security Center用戶端。具體操作,請參見安裝用戶端。
背景資訊
網路攻擊者通常會利用被攻擊網站中存在的漏洞,通過在網頁中植入非法暗鏈等方式篡改網頁內容,進行非法牟利或者惡意商業攻擊等活動。網頁被惡意篡改會影響您的網頁被正常訪問,還可能會導致嚴重的經濟損失、品牌損失甚至是政治風險。
Security Center用戶端通過自動化採集被保護伺服器的防護目錄下檔案的進程列表,即時識別異常進程和異常檔案變動,並對導致異常檔案變動的進程進行攔截或警示。
計費說明
網頁防篡改功能為Security Center的增值服務,需要您購買後才能使用。該功能的計費詳情,請參見Security Center計費說明。
使用限制
一個網頁防篡改授權數可防護一台伺服器。
一台伺服器只能添加一次防護,一台伺服器最多可添加10個防護目錄。
當伺服器作業系統和核心版本在指定版本號碼範圍(白名單功能支援的作業系統和核心版本)內時:
支援使用白名單功能:如果已確認攔截或警示的異常檔案變動為正常業務進程,可將該進程路徑加入白名單,Security Center將不再對該進程進行攔截和警示。
添加防護目錄時,有以下限制:
每個被防護的檔案或目錄的完整路徑長度不能超過1,000個英文字元或500個中文字元。
如果防護目錄被設定為NFS server的進程路徑,則無法防禦通過NFS client訪問修改該路徑下檔案的攻擊行為。
當伺服器作業系統和核心版本不在指定版本號碼範圍(白名單功能支援的作業系統和核心版本)內時:
不支援使用白名單功能。即使加入白名單,防篡改進程白名單也無法生效。
添加防護目錄時,有以下限制:
每個被防護的目錄大小不超過20 GB。
每個被防護的目錄下的檔案夾個數不超過20,000個。
每個被防護的目錄檔案夾層級不超過20個。
每個被防護的檔案大小不超過20 GB。
警示模式無法使用。
網路檔案系統NFS路徑無法防禦。
可能不產生警示資訊。產生的警示資訊中不包含進程路徑資訊。
作業系統 | 作業系統版本號碼 | 核心版本號碼 |
Windows(32位或64位) | Windows Server 2008、2012、2016和2019 | 所有版本。 |
CentOS(64位) | 不限制,以支援的核心版本號碼為準 | |
Ubuntu(64位) | 不限制,以支援的核心版本號碼為準 | |
Debian | 不限制,以支援的核心版本號碼為準 | |
Anolis OS(64位) | 不限制,以支援的核心版本號碼為準 | |
RHEL | 不限制,以支援的核心版本號碼為準 | |
AliyunOS(64位) | 不限制,以支援的核心版本號碼為準 | |
Oracle Linux | 不限制,以支援的核心版本號碼為準 |
步驟一:購買防篡改授權數
在使用網頁防篡改功能前,需要確保當前阿里雲帳號下擁有足夠的防篡改授權數。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇。
根據您是否購買過網頁防篡改授權數,執行以下操作。
未購買網頁防篡改授權數
在網頁防篡改頁面,單擊立即升級。
根據您使用的Security Center版本,參考以下步驟操作。
免費版:
在請選擇適合您的產品版本面板,選擇任意版本。在立即購買面板,選擇版本、保有伺服器台數等配置,您需將網頁防篡改選擇是,並按照您需要網頁防篡改防護的伺服器數量選擇防篡改授權數量。
支援單獨購買網頁防篡改服務,您只需將版本選擇置為僅採購增值服務。關於選擇Security Center版本和其他購買配置的更多資訊,請參見購買Security Center。
付費版本:
在請選擇適合您的產品版本面板,單擊升級,在立即升級面板,將網頁防篡改選擇是,按照需要網頁防篡改防護的伺服器數量選擇防篡改授權數量。
單擊立即購買並完成支付。
已購買過網頁防篡改授權數
如果網頁防篡改授權數為0或不足時,您可以在網頁防篡改頁面右上方,單擊購買配額,購買足夠數量的防篡改授權數。
步驟二:為伺服器添加防護
為已安裝Security Center用戶端的伺服器添加防護,一台伺服器可以添加多個防護目錄。
在網頁防篡改頁面,首次使用網頁防篡改功能時,單擊建立網頁防篡改。
如果非首次使用,在網頁防篡改頁面的防護管理頁簽,單擊為伺服器添加防護。
在建立網頁防篡改面板的伺服器列表中,選中要開啟網頁防篡改防護的伺服器,單擊下一步。
配置網頁防篡改防護規則,單擊開啟防護。
預設採用白名單模式,設定需要防護的目錄和檔案類型。您也可以單擊黑名單模式,設定需要防護的目錄下不需要防護的子目錄、檔案類型和指定檔案。
白名單模式
防護目錄下已添加到防護規則中的防護檔案被修改時,Security Center會攔截或警示。
配置項
說明
防護目錄
填寫您要防禦的伺服器的目錄。指定防禦目錄後,修改防禦目錄下的檔案名稱、內容或者檔案屬性時,Security Center將根據進程白名單、防護模式,決定是否攔截。
填寫格式為:/目錄名稱/,例如:
/tmp/。防護檔案類型
選擇或輸入您要防護的檔案類型。
您可以在下拉式清單選擇要防護的檔案類型,也可以在此處手動輸入下拉式清單中未列出的檔案類型。
說明目前防護檔案類型不受限制,所有檔案類型都支援網頁防篡改防護。
防護模式
攔截模式:Security Center會主動攔截異常進程、異常檔案變動,確保您伺服器中網站和檔案的安全。
警示模式:Security Center會對識別到的異常進程、異常檔案變動進行警示。
重要如果伺服器作業系統和核心版本不在白名單功能支援的作業系統和核心版本範圍內,警示模式將不生效,防護模式選擇警示模式,Security Center依然會攔截異常進程。
本地備份目錄
設定防護目錄的備份儲存路徑。
資訊安全中心為您指定的預設備份目錄為
/usr/local/aegis/bak(Linux伺服器)和C:\Program Files (x86)\Alibaba\Aegis\bak(Windows伺服器),您可以手動修改預設的備份路徑。重要如果伺服器作業系統和核心版本在白名單功能支援的作業系統和核心版本範圍內,不會使用本地備份目錄,可忽略該設定。
配置樣本
例如:防護目錄填寫
/tmp/、防護檔案類型選擇XML、防護模式選擇攔截模式,則表示當tmp目錄下XML格式的檔案被修改時,Security Center將會攔截該操作。黑名單模式
防護目錄下已添加到防護規則的子目錄、檔案類型、指定檔案被修改時,不會被警示或攔截;未添加到防護規則的子目錄、檔案類型、指定檔案被修改時,會被警示或攔截。
防護目錄、防護模式和本地備份目錄的配置說明,參見上文的白名單模式。
配置項
說明
排除子目錄
輸入不需要防護的子目錄的路徑。
填寫格式為:子目錄名稱/,例如:
dir1/dir0/。排除檔案類型
選擇或填寫不需要防護的檔案類型。
排除指定檔案
輸入不需要防護的檔案。
填寫格式為:子目錄名稱/檔案,例如:
dir2/file3。重要排除子目錄、排除檔案類型和排除指定檔案之間為或的關係。
配置樣本
例如:防護目錄填寫
/tmp/、排除子目錄填寫dir1/dir0/、排除檔案類型選擇txt、排除指定檔案填寫dir2/file3、防護模式選擇攔截模式,則表示只有tmp目錄下的dir1子目錄下dir0子目錄下的檔案、txt(副檔名)類型的檔案、或者dir2子目錄下的file3檔案可以被修改,tmp目錄下的其他任何檔案或者目錄都無法被修改(修改操作將被Security Center攔截)。
(可選)在網頁防篡改頁面的防護管理頁簽下的伺服器列表中,定位到已建立網頁防篡改防護的伺服器,單擊操作列的添加防護目錄,可添加更多的防護目錄。
您可單擊伺服器名稱前的展開
表徵圖,查看該伺服器下已添加的防護目錄列表,單擊防護目錄對應的編輯,修改防護規則。在網頁防篡改頁面的防護管理頁簽下的伺服器列表中,定位到已建立網頁防篡改防護的伺服器,單擊防護狀態列的
表徵圖,為該伺服器開啟網頁防篡改保護。首次開啟防護時,目標主機的服務狀態列將會顯示為啟動中,並顯示啟動進度條。請耐心等待,啟動成功後服務狀態將會顯示為正在運行。
以下為服務狀態的說明:
服務狀態
說明
建議
啟動中
網頁防篡改防護服務正在開啟。
首次開啟防護時,目標主機的服務狀態將會顯示為啟動中。請耐心等待。
正在運行
防護狀態已成功開啟,服務正常運行中。
無。
異常
防護開啟異常。
將滑鼠移動到目標伺服器的服務狀態上,查看發生異常的原因並單擊重試。
未啟動
防護狀態為未開啟。
需將防護狀態設定為開啟。
步驟三:查看防護狀態
在網頁防篡改頁面的防護狀態頁簽下,查看防護詳情。
網頁防篡改檢測的總覽資料,以及最近15天內防護檔案和阻斷進程排名前5的統計資料。
網頁防篡改警示詳情列表
Security Center檢測到的所有(包括攔截模式和警示模式)異常檔案變動及其詳細資料,包括緊急程度(目前只有中危等級)、警示名稱、受影響資產、異常變動檔案的路徑、異常進程名稱、防禦狀態等。
在已處理列表中:
預設展示攔截模式的警示事件,狀態預設為已防禦,表示網頁防篡改功能在檢測到異常檔案變動事件時,已及時為您攔截執行該異常變動的進程。
在未處理列表中:
展示警示模式的警示事件,狀態預設為未處理,表示網頁防篡改功能已對異常進程、異常檔案變動進行警示。
如果您確認被攔截或警示的異常變動為正常業務需求,可通過白名單功能恢複該進程的正常運行。加入白名單後的警示事件會在已處理列表中展示,狀態顯示為已加入白名單。詳細內容,請參見可選:加入白名單。
重要如果警示嘗試次數(進程寫檔案次數)超過100次,建議您及時關注並處理該警示。
可選:加入白名單
如果您確認伺服器中指定進程的檔案變動是正常業務需求,並希望修改被防禦進程檔案,可以把此進程加入進程白名單,使對應的防禦檔案可以被正常改動。
防護的伺服器需要在白名單功能支援的作業系統和核心版本中,才能正常使用該功能。具體支援的範圍,請參見白名單功能支援的作業系統和核心版本。
駭客有可能利用白名單進程入侵主機,建議您根據業務情境謹慎錄入白名單。
在網頁防篡改頁面的防護狀態頁簽下,將正常業務進程加入白名單。
將單個警示事件加入白名單
在未處理的警示事件列表中,定位到您要加入白名單的異常進程,單擊操作列的處理。
在彈出的對話方塊中,處理方式選擇加白名單,然後單擊立即處理。
如果您需要對不同伺服器中存在的同一個進程進行加白,或者對同一個伺服器中不同檔案路徑下的同一個進程進行加白,可選中同時處理存在相同進程的伺服器。
您也可以在已處理的警示事件列表中,查看已防禦狀態的進程路徑,將需要被正常改動的進程加入白名單。
將多個警示事件批量加白名單
在防護狀態的警示事件列表中,選中多個您要加入白名單的異常進程。
單擊列表底部的加入白名單,在對話方塊中單擊確定。
直接將目標防護進程加入白名單
單擊阻斷進程數或進程白名單下方的數字,進入進程管理面板。
單擊右上方的錄入白名單,填寫進程路徑、伺服器名稱/IP將多個異常進程批量加入白名單。
查看、取消白名單
您可以單擊進程白名單下方的數字進入進程管理面板,查看所有已加入白名單的異常進程,包括該進程所在的伺服器、進程路徑、嘗試寫檔案次數等資訊。
如果您需要將異常進程從白名單中移除,可以單擊操作列的取消白名單進行移除白名單操作。您也可以選中多個白名單後,單擊下方取消白名單進行大量移除白名單操作。