动态与公告

产品动态

产品公告

新手指引

产品简介

产品概述

产品优势

基本概念

应用场景

关联产品

功能介绍与版本比较

购买指南

购买安全防护授权

购买日志分析服务

快速入门

操作指南

安全概览

资产概览

主机列表

资产指纹

漏洞管理

基线管理

文件查杀

异常登录

密码破解

恶意请求

高危命令

本地提权

反弹 Shell

Java 内存马

核心文件监控

网络攻击

勒索防御

日志分析

授权管理

告警设置

访问管理指引

混合云安装指引

新手常见问题

软件相关说明

功能行为描述

客户端进程说明

安全基线检测列表

JSON 格式告警数据解析

日志字段数据解析

客户端安装指引

安全评分说明

实践教程

漏洞自动修复

恶意文件处理

故障处理

Linux 入侵类问题排查思路

Windows 入侵类问题排查思路

Linux 客户端离线排查

Windows 客户端离线排查

异常登录的消息提醒

API 文档

History

Introduction

API Category

Asset Management APIs

Virus Scanning APIs

Abnormal Log-in APIs

Password Cracking APIs

Malicious Request APIs

High-Risk Command APIs

Local Privilege Escalation APIs

Reverse Shell APIs

Vulnerability Management APIs

New Baseline Management APIs

Baseline Management APIs

Advanced Defense APIs

Security Operation APIs

Expert Service APIs

Other APIs

Overview Statistics APIs

Settings Center APIs

Making API Requests

Intrusion Detection APIs

Data Types

Error Codes

常见问题

反弹 Shell

PDF

聚焦模式

字号

最后更新时间： 2024-08-13 16:29:50

本文档将为您介绍如何对反弹 Shell 详情进行查看和处理，同时指导您如何创建白名单，用于设置被允许的反向连接行为。
背景信息
反弹 Shell 功能是基于腾讯云安全技术及多维度多手段，对服务器上的 Shell 反向连接行为进行识别记录，为您的云服务器提供反弹 Shell 行为的实时监控能力。
前提条件
反弹 Shell 功能仅专业版主机与旗舰版主机支持，基础版主机须 升级专业版或旗舰版 才可使用该功能。
告警列表
1. 登录 主机安全控制台，在左侧导航栏，选择入侵检测 > 反弹 Shell，进入反弹 Shell 的告警列表页面。
2. 在告警列表页面，可查看反弹 Shell 告警事件，并进行相关操作。
﻿
筛选：支持按发现时间、状态及关键字进行筛选。
自定义展示列：单击
﻿
，可设置告警列表展示字段。
导出：单击
﻿
，可导出告警列表详细信息。
字段说明：
主机名称/实例ID：被攻击者反弹 Shell 控制的主机名称/实例ID。
IP 地址：被攻击者反弹 Shell 控制的主机IP。
连接进程： 主机进行反弹 Shell 连接的进程。
执行命令：主机执行的反弹 Shell 连接的命令。
威胁等级：高危(目标主机 IP是公网 IP)、中危（目标主机 IP 是局域网 IP）。
父进程：连接进程的父进程。
目标主机：反弹 Shell 连接的目标主机。
目标端口：反弹 Shell 连接的目标端口。
发现时间：检测到反弹 Shell 行为的时间。
检测方法：
行为分析：通过监视系统和网络活动方式来检测潜在的威胁或异常行为。
命令特征检测：通过对命令分析（如：高权限命令、非常规命令、异常参数等）以识别和监测可能与反弹Shell相关的命令行为。
状态：待处理、已加入白名单、已处理、已忽略。
详情：可查看反弹Shell的详细情况，含风险主机信息、连接进程信息、危险描述、修复建议。
﻿
处理：标记已处理、加入白名单、忽略、删除记录。
﻿
3. 反弹 Shell 内网告警展示。
3.1 由于内网反弹 Shell 告警数量较大，针对内网反弹 Shell 的检测引擎默认处于关闭状态。如需开启，请单击页面右上角的反弹 Shell 设置进行配置。
3.2 在反弹 Shell 设置页面，您可以自定义是否开启内网反弹 Shell 检测。开启后，系统将支持检测并上报告警数据；关闭后，将停止检测。
﻿
3.3 同时，支持可以在反弹 Shell 配置页面抽屉或告警列表上方设置是否显示内网告警数据。勾选后，告警列表将展示内网告警数据；取消勾选，则不展示内网告警数据。
﻿
白名单管理
在反弹 Shell 页面上方选择白名单管理，进入白名单管理页面。
﻿
筛选：支持按连接进程进行筛选。
自定义展示列：单击
﻿
，可设置策略列表展示字段。
字段说明：
服务器：生效白名单的服务器。
连接进程：加入白名单的连接进程。
目标主机：反弹 Shell 的目标主机。
目标端口：反弹 Shell 的目标端口。
创建时间：该白名单创建时间。
更新时间：该白名单更新时间。
编辑：对该白名单进行编辑。
删除：删除该白名单。
添加白名单：
﻿
注意：
IP 地址格式：单个 IP（127.0.0.1）、IP 范围（127.0.0.1-127.0.0.254）、IP 网段（127.0.0.1/24）。
端口格式：80,8080（支持多个端口并以英文逗号分隔，不限端口请留空）。
勾选两个条件时，需要同时满足才能命中白名单。
若服务器范围选择全部服务器，将对用户 APPID 下所有服务器添加该白名单，请谨慎操作。
﻿