tencent cloud

文档反馈

文件查杀

最后更新时间:2024-08-13 16:29:50
    本文档将指导您如何在主机安全控制台对木马文件进行操作处理。

    文件查杀设置

    1. 登录 主机安全控制台,在左侧导航栏选择入侵检测 > 文件查杀
    2. 在文件查杀页面,单击右上角处的查杀设置,右侧弹出查杀设置页面,可对查杀模式进行设置。
    说明:
    该功能属于专业版/旗舰版功能,请先 购买防护授权 并绑定主机,升级为专业版/旗舰版主机。
    文件查杀支持木马文件检测,全部机器可累计免费检测5条恶意文件安全事件,超过则停止检测,升级为专业版或旗舰版主机安全则没有次数限制,常见的木马文件检测有以下两种:
    Webshell 检测:提供常用的 Web 网站类脚本木马后门检测,包含 ASP/PHP/JSP/Python 等脚本语言。
    二进制检测:提供对二进制可执行类的病毒木马检测,例如 DDoS 木马、远控、挖矿类软件等,文件类型包括 exe、dll、bin 等,并告警用户。
    
    3. 在查杀设置页面,支持定时扫描、实时监控、自动隔离设置。
    定时检测:单击开启定时扫描,设置检测模式、周期和检测范围后,单击保存,可定期扫描主机木马病毒文件,增强安全性。
    
    检测模式:包括快速检测模式和全盘检测模式,可对运行中进程、关键目录、驱动加载等进行检测。其中全盘检测的时长与服务器磁盘文件数量相关,推荐检测周期选择4小时以上,避免出现扫描不完整或超时情况。
    快速检测:Linux系统会检测运行中进程、关键目录、驱动加载等;Windows 会扫描 C 盘。
    全盘检测:Linux 系统除快速检测范围外,还会检测系统所有分区;Windows 会扫描 CDEF 盘。
    异常进程检测:深度检测内存中的异常进程,可能造成一定程度的资源占用率升高,请谨慎选择。
    检测周期:可选择每天、每隔3天或每隔7天检测周期。
    检测范围:包括全部专业版本服务器和自选服务器。
    实时监控:单击开启实时监控,并选择监控模式后,单击保存,可实时监控 Web 目录、系统关键目录,查杀木马病毒文件。
    
    
    
    说明:
    监控模式分为标准和推荐两种模式。
    标准:监控并扫描检测常见目录下增量文件。
    深度:监控并扫描检测所有目录下增量文件。
    自动隔离:单击开启自动隔离 > 保存,自动隔离检测出的恶意文件,部分恶意文件仍需用户手动确认隔离,建议检查文件查杀列表中所有安全事件,确保已全部处理。
    说明:
    若出现误隔离,请在已隔离列表中对文件进行恢复。开启或关闭自动隔离,均需要进行配置,实际生效存在几分钟延迟。
    

    检测设置概览

    1. 登录 主机安全控制台 ,在左侧导航栏选择入侵检测 > 文件查杀
    2. 在文件查杀页面,单击一键扫描,开始设置手动检测模式。
    
    
    
    3. 在一键扫描设置页面,设置目标检测模式、主机范围和超时时间后,检测可能会因为文件、目录过多,扫描耗时较长,可以设置单次扫描时长,超时则视为扫描失败。
    
    
    
    4. 单击开启检测后按照检测设置进行检测,可单击查看详情查看检测详情信息。
    
    
    
    检测详情列表包含字段说明如下:
    影响服务器:目标服务器的 IP 及名称。
    操作系统:目标服务器的操作系统。
    检测状态:目标服务器检测完成、检测中及检测失败的检测状态,其中检测失败的原因可能是目标服务器检测超时失败,建议增加超时时长后重新检测,检测失败的原因可能是客户端已离线,建议重启或重新安装客户端后重新检测。
    待处理风险:目标服务器检测出待处理的风险文件数量。
    检测开始时间:此次检测开始的时间。
    检测结束时间:目标服务器检测结束的时间。
    操作:
    重新检测:若想对检测状态处于检测完成、检测停止和检测失败的目标服务器再次检测,您可以单击重新检测
    停止检测:若想对检测状态处于检测中的目标服务器停止检测,您可以单击停止检测
    注意:
    选中的服务器将不会被检测,可能存在的风险将不会告警提示,请谨慎操作。
    查看详情:若想查看目标服务器的检测结果详情,您可以单击查看详情

    查看事件列表

    1. 登录 主机安全控制台,在左侧导航栏选择入侵检测 > 文件查杀
    2. 在文件查杀页面,可查看当前受保护的服务器中,木马文件检测情况,如下图所示:
    
    事件列表包含字段说明如下:
    服务器 IP /名称 :当前检测的目标服务器 IP 和名称。
    路径:目标风险文件的文件路径,单击
    
    复制路径信息、单击
    
    下载目标风险文件。
    病毒名/检出引擎:入侵目标风险文件的病毒名。
    首次发现时间:首次检测到目标风险文件出现的时间。
    最近检测时间:最近一次检测到目标风险文件出现的时间。
    处理状态:目标风险文件的处理状态,待处理状态的事件会提示最近一次检测该文件时,文件和进程的存在情况。
    操作:
    隔离:若确认文件是恶意的,可以对单个文件进行隔离,或者批量选择文件进行一键隔离。当隔离成功后,原始恶意文件将被加密隔离,后期可以通过筛选已隔离文件,进行恢复。
    信任:若文件是非恶意的,可以选择信任操作,加入信任后,主机安全将不再对该文件进行检测,可以通过筛选信任文件,对信任文件进行管理。
    删除记录:该操作仅删除日志记录,不会删除文件,操作后无法再查看相关日志信息,建议您先对文件进行“隔离”、“信任”操作,或根据路径找到相应文件进行手动删除。
    详情:若想查看目标风险文件的检测结果详情,可以单击查看详情

    常见问题

    木马文件为什么隔离失败?

    木马文件隔离失败,一般是由于木马文件对抗安全软件导致的,建议先自行删除服务器中的告警文件。若仍无法处理,请 提交工单 联系我们进行处理,Windows 系统也可尝试使用腾讯电脑管家进行查杀。

    后续步骤

    Linux 入侵类问题排查指南,请参见 Linux 入侵类问题排查思路
    Windows 入侵类问题排查指南,请参见 Windows 入侵类问题排查思路
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持