【aES】主机查杀存在webshell文件,没找到源文件
【问题背景】MGR上有一主机高威胁安全事件2140287【问题处理】1、客户针对该服务器指定目录做自定义扫描,查杀出来是木马病毒,但是对应路径下找不到文件,文件隐藏已关闭21402892140297
PS:这里报木马原因是,webshell检测是单独的定时检测。自定义扫描不支持扫webshell,但是可以检测出是木马
3、清除缓存重新查杀(修改注册表之前先禁用agent服务,改完再启用)计算机\HKEY_LOCAL_MACHINE\SOFTWARE\SF\EDR\SAV
在SAV项中添加DWORD值:
CleanCache-- 该值1为清缓存、0为不清 (3.5.10以前版本设置此值)
CleanCacheEngine-- (3.5.10版本及以上设置此值)该值对应如下图,例如要清 SAVE+信誉库+本地cache 的缓存,则对应值为 32+8+2 = 42
最后重启EDR服务(重启Agent)2140291
4、清除缓存后查杀依旧2140293
5、服务器上powershell执行命令:ls -Path [路径] -Force,是有这个文件的
2140299
6、查看对应路径文件夹选项,勾选隐藏受保护的操作系统文件能看到文件了21403032140305
【排查结论】黑客隐藏了文件类型为系统文件,所以文件管理器看不到;勾选了展示系统文件后可以正常看到,判断是恶意文件建议查杀隔离处理
页:
[1]