文档首页/ 企业主机安全 HSS/ 最佳实践/ 使用HSS查杀系统木马
更新时间:2024-10-28 GMT+08:00

使用HSS查杀系统木马

应用场景

木马程序是当前网络安全领域一个重要问题,它通过不同方式入侵计算机系统,对用户数据安全、隐私保护和系统稳定性构成严重威胁。

为了防范木马,您需要及时更新操作系统和软件,使用安全的网络连接,避免下载和运行来自未知来源的文件。除此之外,您还可以使用HSS,查看和处置上报的木马告警,及时修复系统漏洞,多方位提升系统安全。

本文为您介绍如何通过HSS查杀系统木马。

前提条件

主机已开启HSS专业版/企业版/旗舰版/网页防篡改版/容器版防护,详细操作请参见HSS接入概述

步骤一:查杀系统木马

主机购买并开启HSS防护后,当主机被植入木马时,会触发HSS发送“木马”告警。您需要自行判断检测出的木马告警文件是正常业务文件,还是攻击者运行的恶意文件。如果确认为攻击事件,建议您对恶意文件进行隔离查杀。

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  3. 在左侧导航栏,选择“检测与响应 > 安全告警事件”,进入“主机安全告警”界面。
  4. “待处理告警”区域,选择恶意软件 > 木马,查看指定时间范围内上报的木马告警。

    图1 木马告警

  5. 在右侧告警列表中,单击告警事件的告警名称,查看木马告警的详细信息。
  6. 在告警列表中,单击告警“操作”列的“处理”
  7. 在弹出的对话框中,“处理方式”选择“隔离查杀”

    选择隔离查杀后,该程序无法执行“读/写”操作,同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱,被隔离的文件不会对主机造成威胁。

步骤二:数据备份恢复与漏洞修复

  • 数据备份恢复

    如果木马恶意程序导致了您的数据丢失,且您开通了CBR服务,可以尝试从CBR服务备份中恢复数据。详细操作,请参见使用云服务器备份恢复数据

  • 漏洞修复

    为了防止再次被木马入侵,您可以通过HSS的漏洞管理功能,查看并修复该服务器漏洞。详细操作,请参见使用HSS扫描和修复漏洞