黑客常常利用网站漏洞植入后门木马程序，再通过后门进一步窃取服务器权限，从而在不被察觉的情况下持续访问和控制目标系统，窃取敏感数据、进行非法篡改或部署恶意软件。

云安全中心的网站后门检测功能，结合百度多年积累的安全防护经验，使用多种自研的查杀引擎来检测常见后门，帮助您及时发现并修复潜在的后门威胁。

使用前提

1. 版本要求：云安全中心的基础版可免费试用3次；标准版、企业版可无限次使用网站后门功能。
2. 安全配置：为确保防护效果，请您务必按照 查杀设置 的指导，正确设置安全策略。
3. 若您需要及时收到风险提醒通知，可按照 告警设置 的指导，正确设置通知策略。

使用说明

网站后门查杀

网站后门查杀页面为您展示所有服务器的后门扫描结果。您可以通过手动触发后门扫描、或配置定时后门扫描任务来发现可疑的后门文件，一旦检测到可疑文件，将会展示在此页面上。

登录云安全中心控制台后，选择 安全防护-网站后门-网站后门查杀 ，进入网站后门查杀页面。

扫描风险

扫描并发现网站后门风险有2种方式，分别是手动扫描和定时扫描，以下对这两种方式分别进行说明：

1. 手动触发后门扫描：

   1. 点击需要扫描的服务器的操作列的后门扫描按钮，触发网站后门扫描任务。或选中一台或多台服务器后，点击“后门扫描”按钮，触发扫描任务。
   2. 支持查看扫描任务整体进度，或点击查看按钮查看详细的扫描任务进度。
   3. 注意：安全组件状态为防护中的服务器才可以执行扫描任务。若安全组件状态离线可以尝试重新安装、若安装组件状态为未安装需要先安装后再尝试扫描。
2. 配置定时后门扫描任务：默认没有定时任务，若业务需要，可以按照 定时任务 说明创建定时扫描任务。

查看风险

1. 在页面上方的总览区域，通过统计图，您可以查看到：

   1. 风险概览：存在风险的服务器数量和未收保护的服务器数量。
   2. 风险分布：了解网站后门风险总数、及风险处理状态的占比。

2. 在列表区域，您可以查看：

   1. 服务器的基础信息及防护状态，包括：服务器名称、IP、标签、安全组件版本、安全组件状态。
   2. 每台服务器上存在的网站后门风险数量。点击存在风险的次数，可进入该服务器的 风险详情页面 ，深入查看近30天的防护记录，以及风险的关键信息，包括可疑文件的路径、可疑文件的sha256、发现时间、首次发现时间。
   3. 单个服务器的安全策略设置。点击服务器操作列的“查看设置”按钮，选择并点击需要查看的设置类型，点击后跳转至策略设置页面查看。

处理风险

百度云安全中心针对可疑后门木马文件提供了多种灵活的处理方式，主要包括隔离、加白和忽略。以下为您详细介绍这几种方式的具体操作及注意事项：

1. 隔离：当确定告警中的文件为风险文件时，可将其移动至隔离区，限制该文件对服务器的所有访问权限，以避免对服务器造成安全威胁。

   注意事项： 文件被隔离后，其所有访问权限将被限制。为防止业务正常文件被误隔离，请谨慎操作。

1. 手动隔离：

   a. 在云安全中心控制台上选择 安全防护-网站后门-网站后门查杀 ，进入查杀页面后，点击服务器存在风险的次数，进入该服务器的风险详情页面 。选中某个文件的操作列，点击“隔离”按钮进行隔离。

   b. 您也可以在风险详情页面选择多个文件进行批量隔离。

2. 自动隔离：

   a. 按照 查杀设置 说明，打开服务器配置中的实时防护设置选项。

2. 取消隔离：若文件被误隔离，可进行取消隔离操作，以保证业务文件正常工作。

1. 在告警的操作列中点击“取消隔离”按钮，或选中多个文件后批量取消隔离。
2. 在 文件隔离区 中，找到需要取消隔离的文件点击还原。

3. 加白 ：当确定文件不是风险文件且以后检测到该文件不需要再告警通知时，可以选择对该告警进行加白。

   注意事项： 加白后，若再检测到该可疑文件，将不再进行告警通知。但加白可能导致恶意文件被“放行”，请谨慎操作。加白的同时，会为该文件创建一条白名单记录，若后续需要取消加白，可在 白名单管理 中进行删除操作。

在云安全中心控制台，选择 安全防护-网站后门-网站后门查杀 ，进入查杀页面后，点击服务器存在风险的次数，进入该服务器的风险详情页面 。选中某个文件的操作列，点击“加白”按钮进行加白。

4. 取消加白：若根据业务需要，已加白的文件需要重新被检测风险，可对其取消加白操作。

   1. 在告警的操作列中点击“取消加白”按钮，取消加白的同时，会在白名单管理列表中将该文件的白名单删除。
   2. 您也可以在 白名单管理 中，找到对应的文件白名单后将其删除，达到取消加白的目的。

5. 忽略：确定某条告警的文件不存在风险后，可以将该告警进行忽略。

   1. 在云安全中心控制台上选择 安全防护-网站后门-网站后门查杀 ，进入查杀页面，点击服务器存在风险的次数，进入该服务器的风险详情页面 。选中某个文件的操作列，点击“忽略”按钮进行忽略。
   2. 您也可以在风险详情页面选择多个文件进行批量忽略。

6. 取消忽略：若已忽略的告警需要继续关注，可以进行取消忽略操作。

   1. 在告警的操作列中点击“取消忽略”按钮，或选中多个文件后批量取消忽略。

文件隔离区

被隔离成功的文件会在隔离区中呈现。隔离区具有以下功能：

1. 查看被隔离的文件信息：

   可以通过多条件搜索和筛选文件，并查看其详细信息，包括文件所在服务器、文件路径、sha256、文件大小、发现时间以及发现方式。

2. 还原文件：

   对于被误隔离的文件，支持还原操作（从隔离区中移出）。找到需要还原的文件，点击文件对应操作列的“还原”按钮，即可将文件还原到原路径下。

3. 删除文件：

   可以从隔离区中移除确认有问题的文件。具体操作步骤为：定位到待删除的文件，点击其操作列的“删除”按钮以执行删除。但需特别注意，删除后的文件无法恢复，请谨慎操作。

被隔离的文件在30天内可进行还原，30天后系统将自动清除，届时文件无法还原！

网站后门查杀设置

白名单管理

被加入白名单的文件，系统将不再对其进行安全检测，会被认定为安全可信文件并予以“放行”。

若要进行白名单管理，可选择 安全防护->网站后门->网站后门查杀设置->白名单管理，进入白名单页面。

1. 添加白名单。点击“添加白名单”按钮，您可以选择单条添加或批量导入：

   • 单条添加：填写文件的sha256哈希值、生效范围以及备注信息，提交后即可创建白名单。
   • 批量导入：按照弹窗上的指定格式上传包含sha256哈希值的文件，实现快速添加。

2. 删除白名单：

   • 在白名单列表中，选中目标行，点击操作列的“删除”按钮。
   • 删除白名单后，系统将恢复对该文件的监控，发现异常会告警提示。同时，与该白名单相关的告警状态将由“已加白”转为“待处理”。
3. 修改白名单：选中白名单列表中的某行数据后，点击操作列的“编辑”按钮即可进入编辑状态，对该条数据进行修改。

4. 查看白名单：

   • 支持通过服务器名称或sha256搜索白名单。

   • 通过“生效服务器”列，查看该条白名单被设置在了哪几台服务器上。

     • 鼠标放在眼睛图标上，可查看具体的服务器名称。
     • 若有未生效的，可点击失败提示，打开下发进度弹窗查看详细添加状态。

查杀设置

查杀设置功能允许用户管理网站后门的扫描与处置规则，您可以根据业务场景自定义防护规则。以下介绍如何使用查杀设置功能。

1. 添加查杀配置

   1. 默认配置：配置列表的首项为系统默认配置，可根据实际需求调整。但默认配置不可删除，以确保在没有其他特定配置时安全功能仍然能正常运行，从而保障您的业务安全。

   2. 自定义配置：

      • 操作步骤：点击“添加配置”按钮，填写必要信息并提交，即可创建查杀配置。
      • 注意事项：每台服务器仅限使用一个配置，创建新查杀配置后，它将自动替换原有默认配置，成为当前服务器的唯一配置。

2. 删除查杀配置

   在配置列表中，选中目标行，点击操作列的“删除”按钮。删除配置后，服务器将使用默认配置。

3. 修改查杀配置

   选中配置列表中的某行数据后，点击操作列的“编辑”按钮即可进入编辑状态，对该条数据进行修改。

4. 查找查杀配置

   1. 支持通过服务器名称搜索配置，支持通过查杀引擎、扫描设置、实时防护设置多种条件筛选对应查杀配置。

   2. 通过“生效服务器”列，查看该条配置被设置在了哪几台服务器上。

      • 鼠标放在眼睛图标上，可查看具体的服务器名称。
      • 若有未生效的，可点击失败提示，打开下发进度弹窗查看详细添加状态。

监控目录设置

监控目录设置功能支持用户自定义网站后门的扫描和监控目录。被添加到监控列表中的目录，系统会对其下的文件安全性进行监控；而未设置的目录，其下的文件安全性则不会被监控。

系统会自动识别服务器上的常见风险目录，并将其作为默认监控目录。您可以根据业务需求添加更多监控目录。

1. 添加监控目录

   点击“添加目录”按钮，添加服务器、Web服务名称以及监控目录信息，提交后即可添加监控目录。

2. 删除监控目录

   选中监控目录列表中的某行数据后，点击操作列的“移出”按钮。

3. 查找监控目录

   支持通过服务器名称、IP地址进行搜索，也可通过添加方式筛选对应查杀配置。