文档中心 > Web后门
Web后门

最近更新时间:2021-03-12

Web后门用于检查Web网站中存在的后门文件,Web后门文件为安全威胁检查中即为重要的一环。Web后门支持实时监控和扫描两种检测方式,其中扫描分为两种:触发式扫描,即点击界面,用户主动触发的扫描;定时扫描,每日定时进行的扫描。

具体操作:

  • 查看详情:点击列表内事件记录的“详情”按钮可查看事件的详情

  • 加入白名单:点击列表内事件记录的按钮后选择“加入白名单”按钮,将根据该事件的各项条件自动填入白名单规则中进行加白,生效范围为当前主机

  • 下载:点击列表内事件记录的按钮后选择“下载”操作,可下载后门文件

  • 隔离:点击列表内事件记录的按钮后选择“隔离”操作,可对当前选择的后门进行隔离操作,隔离后的处理状态会在列表中展示

Web后门扫描

功能的扫描分为两种模式,一种为点击列表中“开始扫描”触发的普通扫描;另一种为点击列表“更多”后选择的“深度扫描”触发的深度扫描。深度扫描相比于普通扫描,扫描文件的范围更大,对一上报的后门也会再执行一次云端检测,适用于初始化扫描和验证样本的情况。扫描不仅检测发现后门,也会对已发现的后门进行修复验证,修复的后门将移至修复历史中。

查看白名单

选择“白名单规则”,进入到白名单规则页面。

  • 新建白名单规则:单击“新建白名单规则”按钮进入到新建白名单规则页面
    白名单规则设置说明:

内容规则内容规则范围
说明Web后门白名单的规则内容可以由以下两个条件中的任意一条组成,两个条件为关系互斥。
1.文件MD5:设置某些符合条件的文件MD5为正常文件MD5,MD5与之匹配的文件即视为正常文件,条件内容为文件的MD5,由用户手动输入或手动添加白名单操作填入
2.自定义文件:条件内容可以由以下两个条件中的任一条组成或多个条件以与关系组成:
2.1.文件目录:设置某些符合条件的文件目录为正常文件目录,该条件目录下的文件或者目录指向的文件即视为正常文件,条件内容为文件目录的正则表达式,由用户手动输入;
2.2.文件后缀。设置某些符合条件的文件后缀为正常文件后缀,带有该后缀的文件即视为正常文件,条件内容为文件后缀的正则表达式,由用户手动输入
规则范围是用户自定义规则适用的范围,用户可以按照下面两种方式选择:
全部主机:所有安装Agent的主机
自定义范围:可以选择业务组,也可以选择多台主机
  • 查看白名单受影响记录:对于已经保存的单条规则,用户可以查看受白名单影响的记录列表

修复历史

单击 “修复历史”,进入到修复历史页面。可以查看到所有曾经存在过,但是现在已经验证为修复的Web后门的记录。

自定义目录

单击 “自定义目录”,进入到自定义目录页面。用户可以根据实际情况设置需要额外扫描的目录。

功能设置

点击列表“更多”后选择的“功能设置”,可设置Web后门是否需要开启实时监控。

隔离/删除列表

点击列表“更多”后选择的“隔离/删除列表”,对Web后门中进行隔离/删除操作的记录进行管理。其中隔离成功的文件可以选择“还原”操作还原文件,或者选择“删除”操作彻底删除文件。

导出

导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。导出方式有以下两种:

  • 手动选择:手动勾选需要导出的行,选择“导出”按钮导出选中的数据

  • 全部导出:单击“全部导出”按钮导出当前范围的全部数据