通过检测服务器Web目录下的文件内容,发现Web网站中存在的后门文件,若检测出后门文件,系统会向您提供实时告警。
使用限制
请先购买企业版或旗舰版配额并绑定主机后,才能正常使用。
设置Webshell检测规则
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“入侵检测 > Webshell”,进入Webshell页面。
单击告警列表右上角的设置按钮,进入Webshell检测设置页面。
配置WebShell检测参数。
参数说明如下:
参数 说明 启动检测 可开启或关闭Webshell检测。 操作系统 支持Linux、Windows系统。 指定检测目录 根据您的特定检测场景,自定义添加需要检测的Web目录。
单击“添加”,在弹出的对话框中输入文件或目录路径。
设置生效范围 可选择“全部服务器”和“自选服务器”。 当所有字段都设置完成后,单击“确认”。
查看Webshell告警
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“入侵检测 > Webshell”,进入Webshell页面。
查看Webshell告警。
查看统计数据
页面上方展示告警事件的统计情况,包括待处理告警事件数和存在风险的服务器数。默认展示最近一周的数据。
待处理告警事件:统计状态为“未处理“的告警数。
存在风险的服务器:按时间、主机GUID筛选条件统计产生告警的服务器数。
查看告警列表
页面下方展示告警列表,告警事件列表展示字段包括服务器、后门文件路径、文件修改时间、文件MD5、文件类型、首次发现时间、最后发现时间、状态。默认展示最近一周的告警。
事件列表可按照发现时间、处理状态、服务器名称、服务器IP和文件路径进行搜索。
处理Webshell告警
隔离
具体操作步骤如下:
在Webshell告警列表中,找到目标告警,单击操作列的“隔离”,或勾选目标告警,单击列表上方的“隔离”进行批量处理。
在弹出的对话框中单击“确认”。
如需要恢复文件,单击“取消隔离”可恢复。
加入白名单
经过分析后确认为误告警,可将此告警加入白名单,后续检测到相同后门文件将不再进行告警。
具体操作步骤如下:
在Webshell告警列表中,找到目标告警,单击操作列的“加入白名单”,或勾选目标告警,单击列表上方的“加入白名单”进行批量处理。
在弹出的对话框中选择“是否适用其他主机”。
默认为“关”:表示该白名单只应用于当前主机。
选择“开”:还需要设置生效范围,表示该白名单应用于多个主机。
单击“确认”,该告警会生成一条白名单规则,显示在白名单列表中。
白名单管理
将告警进行加白操作后,可进入白名单管理页面对白名单规则进行管理,支持删除白名单规则。
同时白名单规则列表可根据服务器名称或服务器IP进行搜索,若该规则中包含该台服务器或IP,即进行显示。
移除白名单
登录服务器安全卫士(原生版)控制台。
在左侧导航栏,选择“入侵检测 > Webshell”,进入Webshell页面。
单击页面右上角的“白名单管理”,进入白名单管理页面。
单击白名单操作列中的“删除”,或勾选目标白名单,单击列表上方的“移除白名单”进行批量处理。
在弹出的提示框中单击“确认”,所选白名单规则将被删除。
