Security Center病毒查殺功能使用阿里雲機器學習病毒查殺引擎和即時更新的病毒庫,提供豐富的系統掃描項,覆蓋持久化啟動項、活動進程、核心模組、敏感目錄、SSH後門公開金鑰等系統薄弱模組,可有效清理伺服器的各類惡意威脅。本文介紹如何使用病毒查殺功能。
背景資訊
在使用Security Center病毒查殺功能時,建議您同時開啟惡意主機行為防禦功能。開啟惡意主機行為防禦功能後,Security Center會自動攔截主流木馬病毒、勒索軟體、挖礦病毒、DDoS木馬等威脅,阻斷其惡意行為。開啟惡意主機行為防禦功能的具體操作,請參見主動防禦。
病毒查殺功能支援掃描及清理的病毒類型、掃描項如下:
病毒類型:勒索病毒、挖礦程式、DDoS木馬、木馬程式、後門程式、惡意程式、高危程式、蠕蟲、可疑程式及自變異木馬。
掃描項:活動進程、隱藏進程、Docker進程、核心模組、已安裝程式、動態庫劫持、服務、計劃任務、開機自啟動項及敏感目錄。
為降低對伺服器資源的佔用,暫不提供全盤掃描能力。
版本限制
僅Security Center的防病毒版、進階版、企業版、旗艦版支援該功能,免費版不支援。購買和升級Security Center服務的具體操作,請參見購買Security Center和升級與降配。
步驟一:掃描病毒
病毒查殺功能會對Security Center防護的所有伺服器,針對勒索病毒、挖礦程式等頑固病毒提供深度掃描服務。病毒掃描支援立即掃描和周期性掃描。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇。
如果未授權建立過服務關聯角色AliyunServiceRoleForSas,您需要單擊立即授權,根據頁面提示完成授權操作。
授權成功後,Security Center自動建立服務關聯角色AliyunServiceRoleForSas。關於AliyunServiceRoleForSas的更多資訊,請參見Security Center服務關聯角色。
在病毒查殺頁面,立即掃描病毒或者設定周期性掃描病毒。
立即掃描
在病毒查殺頁面,單擊立即掃描或重新扫描。
在扫描设置面板,設定掃描模式和掃描範圍。
配置項
說明
掃描模式
選擇病毒掃描模式。
快速掃描:該模式下,Security Center會自動檢測活動進程、啟動項、敏感目錄檔案等安全風險。
自訂目錄掃描:該模式下,您可以自訂需要掃描的檔案目錄。
輸入需要掃描的檔案目錄,如果有多個檔案目錄需要換行輸入。單次最大支援掃描30,000個檔案,如果檔案目錄中的檔案超過30,000個,超出部分的檔案將無法掃描。
掃描範圍
選擇資產掃描的資產範圍。您可以按照以下類型選擇待掃描資產:
全部資產:掃描全部資產。
按資產:選擇待掃描的主機資產。
按分組:選擇資產分組,Security Center將掃描該資產分組下的所有資產。如果選中的資產分組新增了資產,新增資產將自動加入掃描範圍。
按VPC:選擇VPC,Security Center將掃描該VPC下的所有資產。如果選中的VPC新增了資產,新增資產將自動加入掃描範圍。
單擊確定。
Security Center按照設定的掃描模式和掃描範圍進行病毒掃描。掃描預計需要2~5分鐘完成,請您耐心等待。
設定周期性掃描
在病毒查殺頁面右上方,單擊扫描设置。
在扫描设置面板,設定掃描病毒的周期、掃描模式和掃描範圍。
配置項
說明
掃描周期
設定自動掃描的時間間隔和掃描時間段。
掃描模式
選擇病毒掃描模式。
快速掃描:該模式下,Security Center會自動檢測活動進程、啟動項、敏感目錄檔案等安全風險。
自訂目錄掃描:該模式下,您可以自訂需要掃描的檔案目錄。
輸入需要掃描的檔案目錄,如果有多個檔案目錄需要換行輸入。單次最大支援掃描30,000個檔案,如果檔案目錄中的檔案超過30,000個,超出部分的檔案將無法掃描。
掃描範圍
選擇資產掃描的資產範圍。您可以按照以下類型選擇待掃描資產:
全部資產:掃描全部資產。
按資產:選擇待掃描的主機資產。
按分組:選擇資產分組,Security Center將掃描該資產分組下的所有資產。如果選中的資產分組新增了資產,新增資產將自動加入掃描範圍。
按VPC:選擇VPC,Security Center將掃描該VPC下的所有資產。如果選中的VPC新增了資產,新增資產將自動加入掃描範圍。
單擊下一步。
Security Center會按照您的設定規則對要掃描的資產執行自動掃描病毒。
(可選)在病毒查殺頁面右上方,單擊任務管理,查看掃描任務狀態和進展。
步驟二:處理警示
Security Center針對病毒掃描檢出的威脅項,還提供了完整的威脅處置能力,支援對勒索、挖礦等頑固病毒一鍵深度查殺。深度查殺通過查殺惡意病毒進程、隔離惡意檔案和清除病毒木馬的持久化駐留項可以清理各類頑固性病毒。掃描完成後,建議您及時查看並處理掃描結果,以確保您的伺服器不受惡意病毒的威脅。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇。
通過以下方式進入警示處理頁面。
處理單個警示主機:在檢查結果清單中定位到需要處理警示的伺服器,在行動列單擊處理。
批量處理多個警示主機:選中需要處理的多個伺服器,單擊批量处理。
在告警处理面板,選擇警示處理方式。
处理方式
說明
深度查杀
深度查殺伺服器中的病毒。深度查殺是Security Center產品對持久化、頑固型病毒進行深度分析和測試後提供的專項查殺能力,您可以在控制台頁面查看深度查殺的詳情。
深度查殺模式下,支援選擇先自動建立快照備份伺服器系統硬碟,再進行病毒查殺,協助您在執行病毒查殺時有效降低操作風險。
加白名單
將警示加入白名單。警示加入白名單後,Security Center將不再檢測該警示。
忽略
忽略當前警示。忽略當前警示後,該警示狀態將更新為已忽略。如果再次出現當前警示事件,Security Center會正常提供警示。
我已手工处理
如果您已手動處理當前警示,請選擇我已手工处理,當前警示狀態將更新為已處理。
單擊下一步。
系統開始處理警示。處理完成後,您可以查看處理結果和警示狀態。
步驟三:設定警示通知
您可以在頁面配置警示通知等級和通知方式。具體操作,請參見通知設定。
