病毒查杀概述
病毒查杀功能使用特征病毒检测引擎,支持扫描服务器中的病毒文件,扫描文件类型覆盖可执行文件、压缩文件、脚本文件、文档、图片、音视频文件;用户可根据自身需要,自主对服务器执行“快速查杀”、“全盘查杀”、“自定义查杀”扫描任务,并及时处置检测到的病毒文件,增强业务系统的病毒防御能力。
使用约束
使用病毒查杀功能须满足以下条件:
-
服务器已开启HSS企业版、旗舰版、网页防篡改版或容器版防护。
-
服务器已安装Agent的版本为以下版本,升级Agent的操作,请参见升级Agent章节。
- Linux:3.2.9及以上版本。
- Windows:4.0.20及以上版本。
-
服务器已开启AV检测策略,详细操作请参见策略管理概述章节。
扫描病毒
静态病毒文件一旦启动就可能化身恶意进程,成为服务器的巨大安全隐患,因此提前查杀静态病毒文件是防护服务器安全的关键之一。HSS的病毒查杀功能,支持扫描服务器上的病毒文件,并提供以下三种病毒扫描方式供您扫描病毒:
- 快速查杀:节约时间成本的快速病毒扫描任务,查杀预置的系统关键文件和目录。
- 全盘查杀:比较耗费时间的全磁盘病毒扫描任务,全面清扫服务器中的病毒文件。
- 自定义查杀:您可以根据自身需求自定义病毒扫描任务。
约束限制
病毒查杀过程中会占用较多的内存、CPU、IO等资源,请在服务器空闲时进行病毒查杀。
快速查杀
1、登录管理控制台。
2、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、选择“主动防御 > 病毒查杀”,进入“病毒查杀”界面。
4、单击“快速查杀”,弹出“快速查杀”对话框。
5、根据界面提示,填写“快速查杀”任务相关参数。
- 任务名称:您可自定义一个任务名称。
- 选择服务器:选择需要进行快速查杀的服务器。
说明服务器处于查杀状态中时,不能被选择。
- 处置策略:选择针对检测到的病毒文件的处理方式。
- 自动处置:经过云病毒检测中心进一步确认为病毒的病毒文件系统自动进行隔离;未被确认为病毒的可疑文件会被打上“可疑”标签,需人工确认后进行处置。
- 人工处置:仅对检测到的病毒文件展示告警不自动隔离,需人工确认后进行处置。
6、单击“开始扫描”,启动查杀任务。
全盘查杀
1、登录管理控制台。
2、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、选择“主动防御 > 病毒查杀”,进入“病毒查杀”界面。
4、单击“全盘查杀”,弹出“全盘查杀”对话框。
5、根据界面提示,填写“全盘查杀”任务相关参数。
-
任务名称:您可自定义一个任务名称。
-
选择服务器:选择需要进行全盘查杀的服务器。
说明服务器处于查杀状态时,不能被选择。
全盘扫描,不扫描网络目录。
-
处置策略:选择针对检测到的病毒文件的处理方式。
- 自动处置:经过云病毒检测中心进一步确认为病毒的病毒文件系统自动进行隔离;未被确认为病毒的可疑文件会被打上“可疑”标签,需人工确认后进行处置。
- 人工处置:仅对检测到的病毒文件展示告警不自动隔离,需人工确认后进行处置。
6、单击“开始扫描”,启动查杀任务。
自定义查杀
1、登录管理控制台。
2、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、选择“主动防御 > 病毒查杀”,进入“病毒查杀”界面。
4、单击“自定义查杀”,弹出“自定义查杀”对话框。
5、根据界面提示,配置“自定义查杀”策略参数。
| 参数名称 | 参数说明 |
|---|---|
| 任务名称 | 自定义查杀任务名称。 |
| 防护文件类型 | 扫描文件类型,勾选即对该文件类型进行扫描。当前支持扫描的文件类型: 可执行:可执行文件和动态链接库,常见exe、dll、so等。 压缩:压缩包和安装包文件,常见zip、rar、tar等。 脚本:脚本文件,常见的bat、py、ps1等。 文档:文档文件,常见的txt、doc、pdf等。 图片:图片文件,常见的bmp、jpg、gif等。 音频文件:音频文件,常见的mp3、mp4、flv等。 |
| 目录设置(可选) | 需要扫描病毒文件的目录。不配置时,默认进行全盘扫描,全盘扫描不扫描网络目录。 |
| 排除指定目录(可选) | 无需扫描病毒文件的目录。 |
| 选择服务器 | 选择需要扫描的服务器。处于查杀状态的服务器不支持选择。 |
| 处置策略 | 选择针对检测到的病毒文件的处理方式。 自动处置:经过云病毒检测中心进一步确认为病毒的病毒文件系统自动进行隔离;未被确认为病毒的可疑文件会被打上“可疑”标签,需人工确认后进行处置。 人工处置:仅对检测到的病毒文件展示告警不自动隔离,需人工确认后进行处置。 |
6、单击“开始扫描”,启动查杀任务。
后续操作
- 查看扫描任务执行状态
a.在病毒查杀界面,单击“扫描任务”,查看病毒扫描任务执行状态。如果您需要停止正在执行的扫描任务,您可以在目标扫描任务所在行的“操作”列,单击“取消”。
b.单击扫描任务前的箭头图标,可展开查看具体各服务器的扫描状态和已扫描的文件数量等信息。如果您需要停止扫描某台服务器,您可以在目标服务器所在行的“操作”列,单击“取消”。 - 查看并处理病毒:病毒查杀任务执行完成后,对于检测到的病毒文件,您需要根据自身业务情况判断并进行人工处置。
查看并处理病毒
前提条件
已执行病毒查杀任务。
查看并处理病毒操作步骤
1、登录管理控制台。
2、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、选择“主动防御 > 病毒查杀”,进入“病毒查杀”界面。
4、查看扫描到的病毒文件。
5、在目标病毒文件所在行的操作列,单击“处置”。您也可以勾选多个病毒文件,并在列表上方单击“批量处理”,批量处理多个文件。
6、在“处理病毒文件”弹窗中,选择病毒文件处理方式。
| 参数名称 | 参数说明 |
|---|---|
| 手动处理 | 如果您要在主机上手动处理当前病毒文件,请选择手动处理。 |
| 忽略 | 忽略本次病毒文件告警,如果再次出现该病毒文件告警事件,主机安全将正常进行告警。 |
| 加入告警白名单 | 如果您排查后确认该病毒文件为误报,您可以将其加入告警白名单,加入白名单后,后续主机安全不再对该病毒文件进行告警。 |
| 隔离文件 | 隔离该病毒文件,隔离后,该病毒文件不能执行“读/写”操作。 |
7、单击“确认”,完成处理。处理后,病毒文件告警事件状态变更为“已处理”。
导出病毒告警文件
1、登录管理控制台。
2、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、选择“主动防御 > 病毒查杀”,进入“病毒查杀”界面。
4、在病毒文件告警事件列表上方,单击“导出”,导出所有病毒文件告警事件到本地。
5、在病毒查杀界面上方查看导出状态,待导出成功后,在主机本地默认下载文件地址,获取导出的病毒文件信息。
注意导出过程中,请勿关闭浏览器页面,否则会导致导出任务中断。
管理文件隔离
被成功隔离的病毒文件会添加到“文件隔离箱”中,无法再对主机造成威胁。您也可以根据自身需要参考本章节恢复或删除已隔离文件。
恢复已隔离的文件
1、登录管理控制台。
2、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、选择“主动防御 > 病毒查杀”,进入“病毒查杀”界面。
4、单击界面右上角“文件隔离箱”,弹出“文件隔离箱”弹窗。
5、单击文件隔离箱列表中“操作”列的“恢复”,弹出“恢复已隔离文件”对话框。
6、单击“确认”,恢复的文件将重新回到病毒事件列表中。
说明执行恢复操作会将恢复隔离文件,请谨慎操作。
删除已隔离文件
1、登录管理控制台。
2、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。
3、选择“主动防御 > 病毒查杀”,进入“病毒查杀”界面。
4、单击界面右上角“文件隔离箱”,弹出“文件隔离箱”弹窗。
5、单击文件隔离箱列表中“操作”列的“删除”,弹出“删除已隔离文件”对话框。如需批量删除已隔离文件,您可以勾选多个目标已隔离文件,并单击已隔离文件列表左上角的“删除”。
6、单击“确认”,完成删除。
说明执行删除操作会将隔离文件彻底删除,请谨慎操作。
