- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 软件相关说明
- 实践教程
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Intrusion Detection APIs
- TrustMalwares
- RecoverMalwares
- MisAlarmNonlocalLoginPlaces
- DescribeNonlocalLoginPlaces
- DescribeMalwares
- DescribeBruteAttacks
- DeleteMalwares
- UntrustMalwares
- SeparateMalwares
- UntrustMaliciousRequest
- TrustMaliciousRequest
- ExportMaliciousRequests
- DescribeMaliciousRequests
- DeleteMaliciousRequests
- ModifyLoginWhiteList
- ExportNonlocalLoginPlaces
- ExportMalwares
- ExportBruteAttacks
- DescribeLoginWhiteList
- DeleteLoginWhiteList
- AddLoginWhiteList
- Overview Statistics-Related APIs
- Vulnerability Management-Related APIs
- Setting Center-Related APIs
- Asset Management APIs
- DescribeProcesses
- DescribeProcessTaskStatus
- DescribeProcessStatistics
- DescribeHistoryAccounts
- DescribeComponents
- DescribeComponentStatistics
- DescribeComponentInfo
- DescribeAccounts
- DescribeAccountStatistics
- CreateProcessTask
- EditTags
- DescribeTags
- DescribeTagMachines
- DescribeOpenPortTaskStatus
- DeleteMachineTag
- AddMachineTag
- CreateOpenPortTask
- Other APIs
- DescribeUsualLoginPlaces
- DeleteUsualLoginPlaces
- DeleteNonlocalLoginPlaces
- DeleteMachine
- DeleteBruteAttacks
- CreateUsualLoginPlaces
- CloseProVersion
- DescribeWeeklyReports
- DescribeWeeklyReportVuls
- DescribeWeeklyReportNonlocalLoginPlaces
- DescribeWeeklyReportMalwares
- DescribeWeeklyReportInfo
- DescribeWeeklyReportBruteAttacks
- DescribeOpenPorts
- DescribeOpenPortStatistics
- RenewProVersion
- OpenProVersionPrepaid
- ModifyProVersionRenewFlag
- InquiryPriceOpenProVersionPrepaid
- OpenProVersion
- Data Types
- Error Codes
- 常见问题
- 相关协议
- 联系我们
- 词汇表
- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 软件相关说明
- 实践教程
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Intrusion Detection APIs
- TrustMalwares
- RecoverMalwares
- MisAlarmNonlocalLoginPlaces
- DescribeNonlocalLoginPlaces
- DescribeMalwares
- DescribeBruteAttacks
- DeleteMalwares
- UntrustMalwares
- SeparateMalwares
- UntrustMaliciousRequest
- TrustMaliciousRequest
- ExportMaliciousRequests
- DescribeMaliciousRequests
- DeleteMaliciousRequests
- ModifyLoginWhiteList
- ExportNonlocalLoginPlaces
- ExportMalwares
- ExportBruteAttacks
- DescribeLoginWhiteList
- DeleteLoginWhiteList
- AddLoginWhiteList
- Overview Statistics-Related APIs
- Vulnerability Management-Related APIs
- Setting Center-Related APIs
- Asset Management APIs
- DescribeProcesses
- DescribeProcessTaskStatus
- DescribeProcessStatistics
- DescribeHistoryAccounts
- DescribeComponents
- DescribeComponentStatistics
- DescribeComponentInfo
- DescribeAccounts
- DescribeAccountStatistics
- CreateProcessTask
- EditTags
- DescribeTags
- DescribeTagMachines
- DescribeOpenPortTaskStatus
- DeleteMachineTag
- AddMachineTag
- CreateOpenPortTask
- Other APIs
- DescribeUsualLoginPlaces
- DeleteUsualLoginPlaces
- DeleteNonlocalLoginPlaces
- DeleteMachine
- DeleteBruteAttacks
- CreateUsualLoginPlaces
- CloseProVersion
- DescribeWeeklyReports
- DescribeWeeklyReportVuls
- DescribeWeeklyReportNonlocalLoginPlaces
- DescribeWeeklyReportMalwares
- DescribeWeeklyReportInfo
- DescribeWeeklyReportBruteAttacks
- DescribeOpenPorts
- DescribeOpenPortStatistics
- RenewProVersion
- OpenProVersionPrepaid
- ModifyProVersionRenewFlag
- InquiryPriceOpenProVersionPrepaid
- OpenProVersion
- Data Types
- Error Codes
- 常见问题
- 相关协议
- 联系我们
- 词汇表
本文档将为您介绍如何对反弹 Shell 详情进行查看和处理,同时指导您如何创建白名单,用于设置被允许的反向连接行为。
背景信息
反弹 Shell 功能是基于腾讯云安全技术及多维度多手段,对服务器上的 Shell 反向连接行为进行识别记录,为您的云服务器提供反弹 Shell 行为的实时监控能力。
前提条件
告警列表
1. 登录 主机安全控制台,在左侧导航栏,选择入侵检测 > 反弹 Shell,进入反弹 Shell 的告警列表页面。
2. 在告警列表页面,可查看反弹 Shell 告警事件,并进行相关操作。
筛选:支持按发现时间、状态及关键字进行筛选。
自定义展示列:单击
导出:单击
字段说明:
主机名称/实例ID:被攻击者反弹 Shell 控制的主机名称/实例ID。
IP 地址:被攻击者反弹 Shell 控制的主机IP。
连接进程: 主机进行反弹 Shell 连接的进程。
执行命令:主机执行的反弹 Shell 连接的命令。
威胁等级:高危(目标主机 IP是公网 IP)、中危(目标主机 IP 是局域网 IP)。
父进程:连接进程的父进程。
目标主机:反弹 Shell 连接的目标主机。
目标端口:反弹 Shell 连接的目标端口。
发现时间:检测到反弹 Shell 行为的时间。
检测方法:
行为分析:通过监视系统和网络活动方式来检测潜在的威胁或异常行为。
命令特征检测:通过对命令分析(如:高权限命令、非常规命令、异常参数等)以识别和监测可能与反弹Shell相关的命令行为。
状态:待处理、已加入白名单、已处理、已忽略。
详情:可查看反弹Shell的详细情况,含风险主机信息、连接进程信息、危险描述、修复建议。
处理:标记已处理、加入白名单、忽略、删除记录。
3. 反弹 Shell 内网告警展示。
3.1 由于内网反弹 Shell 告警数量较大,针对内网反弹 Shell 的检测引擎默认处于关闭状态。如需开启,请单击页面右上角的反弹 Shell 设置进行配置。
3.2 在反弹 Shell 设置页面,您可以自定义是否开启内网反弹 Shell 检测。开启后,系统将支持检测并上报告警数据;关闭后,将停止检测。
3.3 同时,支持可以在反弹 Shell 配置页面抽屉或告警列表上方设置是否显示内网告警数据。勾选后,告警列表将展示内网告警数据;取消勾选,则不展示内网告警数据。
白名单管理
筛选:支持按连接进程进行筛选。
自定义展示列:单击
字段说明:
服务器:生效白名单的服务器。
连接进程:加入白名单的连接进程。
目标主机:反弹 Shell 的目标主机。
目标端口:反弹 Shell 的目标端口。
创建时间:该白名单创建时间。
更新时间:该白名单更新时间。
编辑:对该白名单进行编辑。
删除:删除该白名单。
添加白名单:
注意:
IP 地址格式:单个 IP(127.0.0.1)、IP 范围(127.0.0.1-127.0.0.254)、IP 网段(127.0.0.1/24)。
端口格式:80,8080(支持多个端口并以英文逗号分隔,不限端口请留空)。
勾选两个条件时,需要同时满足才能命中白名单。
若服务器范围选择全部服务器,将对用户 APPID 下所有服务器添加该白名单,请谨慎操作。
是
否
本页内容是否解决了您的问题?