说明反弹Shell属于企业版功能,请先购买企业版配额并绑定主机后,才能正常使用。
登录服务器安全卫士(原生版)控制台,在左侧导航栏选择入侵检测->反弹Shell。如下图所示,上方展示告警事件和风险服务器的统计情况,下方展示告警事件详情。
告警详情
告警事件列表展示字段包括服务器、操作系统、连接进程、目标主机:端口、威胁等级、发现时间、状态和操作。告警事件支持按发现时间、威胁等级、处理状态、服务器名称、服务器IP、连接进程、目标主机端口进行搜索。
单击查看详情查看反弹Shell详细信息,包括目标主机、端口、协议、连接进程、进程命令行、进程PID、父进程、父进程命令行、父进程PID。
处理方式
- 标记为已处理:人工对告警进行处理,处理后可将告警标记为已处理。
- 加入白名单:经过分析后确认为误告警,可将此告警加入白名单,后续检测到相同反弹Shell行为后不再进行告警。
白名单管理
将告警进行加白操作后,可进入白名单管理页面对白名单规则进行管理,支持删除白名单规则。同时白名单规则列表可根据服务器名称、服务器IP、连接进程或目标主机端口进行搜索,若该规则中包含该台服务器、IP、连接进程或目标主机端口,即进行显示。