本文将为您介绍反弹Shell的功能和操作。
概述
反弹 Shell 功能是基于腾讯云安全技术及多维度多手段,对服务器上的 Shell 反向连接行为进行识别记录,为您的云服务器提供反弹 Shell 行为的实时监控能力。
限制说明
至少存在1台已绑定防护授权的主机(专业版/旗舰版),才可解锁反弹Shell功能。
仅对服务器公网反弹Shell,且已建立连接的行为,才会进行告警。
操作指南
2. 单击左侧导航中的入侵检测>反弹Shell,各功能说明如下。
事件列表
在事件列表中,可查看并处理主机安全监测到的反弹Shell风险。
字段说明:
服务器IP/名称:检测到存在反弹Shell行为的服务器。
连接进程:反向连接的进程。
执行命令:反弹Shell执行的命令。
父进程:连接进程的父进程。
目标主机:反弹Shell的目标主机。
目标端口:反弹Shell的目标端口。
发现时间:首次发现该反弹Shell行为的时间。
检测方法:行为分析、命令特征检测。
状态:待处理、已加入白名单、已处理、已忽略。
操作
详情:可查看反弹Shell的更多信息,如进程信息、命令行、危害描述等。
处理
标记已处理:建议您参照事件详情中的“修复建议”,人工对该事件风险进行处理,处理后可将事件标记为已处理。
加入白名单:加入白名单操作后,当再次发生相同事件时将不再进行告警,请谨慎操作。
忽略:仅将本次告警事件进行忽略,若再有相同事件发生依然会进行告警。
删除记录:删除该事件记录,控制台将不再显示,无法恢复记录,请慎重操作。
白名单管理
在白名单管理中,可进行本地提权白名单/黑名单规则的增/删/改/查。
字段说明:
服务器:白名单生效服务器范围。
连接进程:白名单连接进程。
目标主机:白名单目标主机。
目标端口:白名单目标端口。
创建时间:白名单的创建时间。
更新时间:最近一次更新白名单的时间。
操作
编辑:可对白名单中反弹Shell条件进行编辑。
删除:可对白名单进行删除。
本页内容是否解决了您的问题?