网页防篡改功能检测到异常文件变动时,会实时拦截该异常变动的进程。如果您确认被拦截的异常进程为正常的业务进程,可通过白名单功能恢复该进程使其正常运行。本文介绍如何将被网页防篡改拦截的进程加入到白名单。

背景信息

网页防篡改功能支持将正常的业务进程批量加入白名单。加入白名单功能支持Windows服务器和Linux服务器。

限制条件

网页防篡改的白名单(和告警模式)功能,需要服务器运行特定版本的操作系统和内核。如果服务器运行的操作系统及与之对应的内核版本不属于以下列表中的操作系统和内核版本,则网页防篡改无法提供白名单(和告警模式)支持:
操作系统版本号 内核版本号
  • CentOS 6.3
  • CentOS 6.5
  • CentOS 6.6
  • CentOS 6.7
  • CentOS 6.8
  • CentOS 6.9
  • CentOS 6.10
  • CentOS 7.0-1406
  • CentOS 7.1-1503
  • CentOS 7.2-1511
  • CentOS 7.3-1611
  • CentOS 7.4-1708
  • CentOS 7.5-1804
  • CentOS 7.6-1810
  • CentOS 7.7-1908
  • CentOS 7.8-2003
  • CentOS 7.9-2009
  • 2.6.32-**(表示所有2.6.32版本的CentOS系统内核)
  • 3.10.0-** (表示所有3.10.0版本的CentOS系统内核)
  • CentOS 8.0-1905
  • CentOS 8.1-1911
  • CentOS 8.2-2004
  • CentOS 8.3-2011
  • 4.18.0-80.11.2.el8_0.x86_64
  • 4.18.0-147.5.1.el8_1.x86_64
  • 4.18.0-147.8.1.el8_1.x86_64
  • 4.18.0-193.el8.x86_64
  • 4.18.0-193.6.3.el8_2.x86_64
  • 4.18.0-193.28.1.el8_2.x86_64
  • 4.18.0-240.1.1.el8_3.x86_64
  • 4.18.0-240.15.1.el8_3.x86_64
Ubuntu 14.04
  • 3.13.0-32-generic
  • 3.13.0-65-generic
  • 3.13.0-86-generic
  • 3.13.0-145-generic
  • 3.13.0-164-generic
  • 3.13.0-170-generic
  • 3.19.0-80-generic
  • 4.4.0-93-generic
Ubuntu 16.04
  • 4.4.0-62-generic
  • 4.4.0-63-generic
  • 4.4.0-93-generic
  • 4.4.0-117-generic
  • 4.4.0-142-generic
  • 4.4.0-151-generic
  • 4.4.0-154-generic
  • 4.4.0-157-generic
  • 4.4.0-174-generic
  • 4.4.0-178-generic
  • 4.4.0-179-generic
  • 4.4.0-184-generic
  • 4.4.0-194-generic
Ubuntu 18.04
  • 4.15.0-23-generic
  • 4.15.0-42-generic
  • 4.15.0-45-generic
  • 4.15.0-52-generic
  • 4.15.0-70-generic
  • 4.15.0-88-generic
  • 4.15.0-91-generic
  • 4.15.0-109-generic
  • 4.15.0-112-generic
  • 4.15.0-121-generic
  • 4.15.0-124-generic
AliyunOS 2.1903
  • 4.19.81-17.al7.x86_64
  • 4.19.81-17.2.al7.x86_64
  • 4.19.91-18.al7.x86_64
  • 4.19.91-19.1.al7.x86_64
  • 4.19.91-21.al7.x86_64
  • 4.19.91-22.2.al7.x86_64

操作步骤

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择主动防御 > 网页防篡改
  3. 防护状态页签下的告警事件列表中,查看或搜索需要加入白名单的异常进程告警事件。
  4. 将异常进程告警事件加入白名单。
    警告 黑客有可能利用白名单进程入侵主机,建议您根据业务场景谨慎录入白名单。
    单个告警事件加白名单
    1. 在防护状态的告警事件列表中,定位到您要加入白名单的异常进程。
    2. 操作列单击处理
    3. 在弹出的对话框中,处理方式选择加白名单

      如果您需要对不同服务器中存在的同一个进程进行加白、或者对同一个服务器中不同文件路径下的同一个进程进行加白,请勾选同时处理存在相同进程的服务器

    4. 单击立即处理
    多个告警事件批量加白名单
    1. 在防护状态的告警事件列表中,选中多个您要加入白名单的异常进程。
    2. 单击列表底部的加入白名单
    3. 单击确定
    您可以单击进程白名单下方的数字进入进程管理面板,单击右上角的录入白名单,填写进程路径服务器名称/IP将异常进程加入白名单。查看白名单

查看、取消白名单

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择主动防御 > 网页防篡改
  3. 在防护状态页签下,单击进程白名单下方的数字。查看白名单
  4. 进程管理面板上查看或取消白名单。
    • 查看白名单

      进程管理面板上的进程白名单列表中会展示所有已加入白名单的异常进程,包括该进程所在的服务器、进程路径、尝试写文件次数等信息。

    • 取消白名单

      如果您需要将异常进程从白名单中移除,可以单击操作列的取消白名单进行移除白名单操作。

      您也可以选中多个白名单后,单击下方取消白名单进行批量移除白名单操作。