使用限制

请先购买企业版或旗舰版配额并绑定主机后，才能正常使用。

查看反弹Shell告警

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“入侵检测 > 反弹Shell”，进入反弹Shell页面。

   

3. 查看反弹Shell告警。

   1. 查看统计数据

      页面上方展示反弹Shell告警事件的统计情况，包括待处理告警事件数和存在风险的服务器数。默认统计最近一周的数据，还可以统计最近一月和最近三月的时间维度。

   2. 查看告警列表

      页面下方展示反弹Shell告警列表，告警事件列表展示字段包括服务器、操作系统、连接进程、目标主机:端口、威胁等级、发现时间、状态。

      告警事件支持按发现时间、威胁等级、处理状态、服务器名称、服务器IP、连接进程、目标主机端口进行搜索。

   3. 查看告警详情

      单击告警列表操作列的“查看详情”查看反弹Shell详细信息，包括目标主机、端口、协议、连接进程、进程命令行、进程PID、父进程、父进程命令行、父进程PID。
      

处理反弹Shell告警

标记为已处理

若您已手动处理告警，可将其“标记为已处理”，标记后，告警的状态将从“未处理”变为“已处理”。

具体操作步骤如下：

1. 在反弹Shell告警列表中，找到目标反弹Shell告警，单击操作列的“标记已处理”，或勾选目标告警，单击列表上方的“标记已处理”进行批量处理。

   

2. 在弹出的对话框中单击“确认”。

加入白名单

经过分析后确认为误告警，可将此告警加入白名单，后续检测到相同反弹Shell行为后不再进行告警。

具体操作步骤如下：

1. 在反弹Shell告警列表中，找到目标反弹Shell告警，单击操作列的“加入白名单”，或勾选目标告警，单击列表上方的“加入白名单”进行批量处理。

   

2. 在弹出的对话框中单击“确定”。
   该告警会生成一条白名单规则，显示在白名单列表中。

白名单管理

将告警进行加白操作后，可进入白名单管理页面对白名单规则进行管理，支持删除白名单规则。

同时白名单规则列表可根据服务器名称、服务器IP、连接进程或目标主机端口进行搜索，若该规则中包含该台服务器、IP、连接进程或目标主机端口，即进行显示。

移除白名单

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“入侵检测 > 反弹Shell”，进入反弹Shell页面。

3. 单击页面右上角的“白名单管理”，进入白名单管理页面。
   

4. 单击白名单操作列中的“删除”，或勾选目标告警，单击列表上方的“移除白名单”进行批量处理。

   

5. 在弹出的提示框中单击“确定”，所选白名单规则将被删除。