Web后门用于检查Web网站中存在的后门文件,Web后门文件为安全威胁检查中即为重要的一环。Web后门支持实时监控和扫描两种检测方式,其中扫描分为两种:触发式扫描,即点击界面,用户主动触发的扫描;定时扫描,每日定时进行的扫描。
具体操作:
查看详情:点击列表内事件记录的“详情”按钮可查看事件的详情
加入白名单:点击列表内事件记录的按钮后选择“加入白名单”按钮,将根据该事件的各项条件自动填入白名单规则中进行加白,生效范围为当前主机
下载:点击列表内事件记录的按钮后选择“下载”操作,可下载后门文件
隔离/删除:点击列表内事件记录的按钮后选择“隔离”或者“删除”操作,可对当前选择的后门进行隔离/删除操作,隔离删除后的处理状态会在列表中展示
Web后门扫描
扫描分为两种模式,一种为点击列表中“开始扫描”触发的普通扫描,另一种为点击列表“更多”后选择的“深度扫描”触发的深度扫描,深度扫描相比于普通扫描,扫描文件的范围更大,对已上报的后门也会再执行一次云端检测,适用于初始化扫描和验证样本的情况。扫描不仅检测发现后门,也会对已发现的后门进行修复验证,修复的后门将移至修复历史中。
检测可选主机的范围进行下发,可选全部主机、业务组或是选择的部分主机。
查看白名单
选择“白名单规则”,进入到白名单规则页面。
| 内容 | 规则内容 | 规则范围 |
|---|
| 说明 | Web后门白名单的规则内容可以由以下两个条件中的任意一条组成,两个条件为关系互斥。
1.文件MD5:设置某些符合条件的文件MD5为正常文件MD5,MD5与之匹配的文件即视为正常文件,条件内容为文件的MD5,由用户手动输入或手动添加白名单操作填入;
2.自定义文件:条件内容可以由以下两个条件中的任一条组成或多个条件以与关系组成:
2.1.文件目录:设置某些符合条件的文件目录为正常文件目录,该条件目录下的文件或者目录指向的文件即视为正常文件,条件内容为文件目录的正则表达式,由用户手动输入;
2.2.文件后缀。设置某些符合条件的文件后缀为正常文件后缀,带有该后缀的文件即视为正常文件,条件内容为文件后缀的正则表达式,由用户手动输入 | 规则范围是用户自定义规则适用的范围,用户可以按照下面两种方式选择:
全部主机:所有安装Agent的主机
自定义范围:可以选择业务组,也可以选择多台主机 |
查看白名单受影响记录:对于已经保存的单条规则,用户可以查看受白名单影响的记录列表
编辑白名单规则:对于已经保存的单条规则,用户可以选择对其进行修改
删除白名单规则:对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除
修复历史
单击 “修复历史”,进入到修复历史页面。可以查看到所有曾经存在过,但是现在已经验证为修复的Web后门的记录。
更新数据依赖
用于更新Web资产的数据,更新后扫描和监控的范围将以更新后的Web目录为准。
自定义目录
单击 “自定义目录”,进入到自定义目录页面。用户可以根据实际情况设置需要额外扫描的目录。
新建自定义目录:单击“新建自定义目录”按钮进入到新建自定义目录页面。 监控目录可输入多个监控路径,以英文逗号隔开;应用范围从主机列表中选择,也可选择多台主机。如果应用范围内存在主机已设置自定义目录,将提示新设置的目录将覆盖主机之前的目录。
编辑自定义目录:点击编辑按钮可编辑该条自定义目录的监控目录,应用范围不可编辑。点击确定提示编辑后的目录将覆盖主机之前的目录,点击确定完成编辑。
删除自定义目录:点击删除按钮可删除该条自定义目录记录。在删除时,需要给用户删除确认提示,用户确认后方可删除。
功能设置
点击列表“更多”后选择的“功能设置”,可设置Web后门是否需要开启实时监控。
隔离/删除列表
点击列表“更多”后选择的“隔离/删除列表”,对Web后门中进行隔离/删除操作的记录进行管理。其中隔离成功的文件可以选择“还原”操作还原文件,或者选择“删除”操作彻底删除文件。
导出
导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。导出方式有以下两种:
