反弹Shell
最近更新时间: 2024-10-17 17:10:00
本文档将为您介绍如何对反弹 Shell 详情进行查看和处理,同时指导您如何创建白名单,用于设置被允许的反向连接行为。
背景信息
反弹 Shell 功能是基于腾讯云金融专区安全技术及多维度多手段,对服务器上的 Shell 反向连接行为进行识别记录,为您的云服务器提供反弹 Shell 行为的实时监控能力。
前提条件
反弹 Shell 功能仅专业版主机支持,基础版和未防护主机须 升级专业版 才可使用该功能。
操作步骤
事件列表
登录主机安全控制台,在左侧导航栏,选择入侵检测 > 反弹 Shell,进入反弹 Shell 的事件列表标签页面。
在反弹 Shell 的“事件列表”标签页面,可查看反弹 Shell 事件列表,并进行相关操作。 在事件列表标签界面,可查看发生反弹 Shell 的服务器 IP/名称、连接进程、发现时间、状态(全部、待处理及加入白名单),操作(详情、加入白名单及删除记录)等12个字段,展示列表详情信息可进行自定义。
- 筛选事件:反弹 Shell 事件列表支持选择日期查看相应事件,支持按关键字及标签查询(多个关键字用竖线 “|” 分隔,多个过滤标签用回车键分隔)事件,同时支持按状态(全部、待处理及已确认)筛选事件。
- 自定义设置列表字段:在反弹 Shell 事件列表上方,单击,可设置列表展示字段,选择完成后,单击确定,即可设置成功。
事件导出:在反弹 Shell 事件列表上方,单击,可将反弹 Shell 事件列表导出。
详情:在目标反弹 Shell 事件的右侧操作栏,单击详情,可查看反弹 Shell 事件详情。
加入白名单:如需将反弹 Shell 事件加入白名单,可在目标反弹 Shell 事件的右侧操作栏,单击处理 > 加入白名单,确认无误后,在弹窗中,单击提交,即可将该反弹 Shell 事件标记为白名单事件。
删除记录:反弹 Shell 事件列表支持对反弹 Shell 事件进行删除。
- 单击反弹 Shell 事件的服务器 IP,可查看该服务器详情。
白名单管理
反弹 Shell 功能支持添加白名单,通过设置白名单条件,将满足条件的事件标记为白名单。
登录主机安全控制台,在左侧导航栏,选择入侵检测 > 反弹 Shell,进入反弹 Shell 页面。
在“反弹 Shell ”页面,选择白名单管理 > 添加白名单。
- 在“添加白名单”页面,设置反弹 Shell 条件,包括:目标主机、自定义连接进程(支持多个进程名,以英文逗号分隔),同时选择该条件覆盖的服务器范围,单击确定。
参数说明:
IP 地址格式:单个 IP(127.0.0.1)、IP 范围(127.0.0.1-127.0.0.254)、IP 网段(127.0.0.1/24)。
端口格式:80,8080(支持多个端口并以英文逗号分隔,不限端口请留空)。
勾选两个条件时,需要同时满足才能命中白名单。
若服务器范围选择全部服务器,将对用户 APPID 下所有服务器添加信任该白名单条件,请谨慎操作。
设置完成后,可在白名单管理列表查看该条件,且在事件列表满足该条件的事件即会被标记为白名单事件。
在白名单管理页面,可对白名单进行筛选删除等操作。
- 筛选:已配置的白名单支持按关键字及标签查询(多个关键字用竖线 “|” 分隔,多个过滤标签用回车键分隔)筛选。
- 自定义设置列表字段:在白名单列表上方,单击,可设置列表展示字段,选择完成后,单击确定,即可设置成功。
- 编辑:在目标白名单的右侧操作栏,单击编辑,可对已创建的白名单进行编辑。
- 删除:在白名单列表中,支持对已配置的白名单进行删除。