发布:阿里云代理商凯铧互联
问题现象
当您的阿里云服务器 ECS 实例在 ECS 控制台的状态为锁定,同时收到阿里云服务器实例关停的官方短信或邮件通知时,代表您的阿里云服务器 ECS 实例已被安全锁定。这是因为阿里云检测到您的阿里云服务器 ECS 实例有对外 DDoS 攻击行为,影响云平台网络稳定,所以被安全系统锁定。
安全锁定后,表示病毒已经入侵,建议您及时 创建快照 备份磁盘数据!!
排查 ECS 实例病毒
1、查看 ECS 实例网络连接状态,分析是否有可疑发送行为,如有则停止。
Linux 实例:执行命令 netstat -a 查看网络连接。
Windows 实例:在 PowerShell 环境下执行命令 netstat -a -n -o查看网络连接。
2、使用杀毒软件查杀病毒。推荐使用 安骑士 全盘杀毒。
Linux 常见木马清理命令:
chattr -i /usr/bin/.sshd
rm -f /usr/bin/.sshd
rm -f -r /usr/bin/bsd-port
rm -r -f /root/.ssh
rm -r -f /usr/bin/bsd-port
cp /usr/bin/dpkgd/ps /bin/ps
cp /usr/bin/dpkgd/netstat /bin/netstat
cp /usr/bin/dpkgd/lsof /usr/sbin/lsof
cp /usr/bin/dpkgd/ss /usr/sbin/ss
find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9
排查 ECS 实例漏洞
1、查看 ECS 实例账号是否异常
Windows 实例
删除账户名末尾有美元字符($)的账号,一般情况下,黑客创建的账户名末尾有字符 $。
黑客可能在您的 ECS 实例内创建隐藏用户,本地用户无法查看隐藏账户,您可以通过修改注册表修改 administrator 权限,建议您在修改注册表前先备份数据,避免操作出错:
远程连接 并登录到实例。
点击开始 > 运行,输入 regedt32.exe。
选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认情况下您看不到里面的内容。
单击 SAM,右击选择权限,选择 administrator,勾选权限为完全控制,单击确定。
选择开始 > 运行,输入 regedit。
选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account,显示当前 ECS 实例的所有用户名,删除本地账户中没有的账户即可删除隐藏用户。
Linux 实例
执行命令 last 或者 /var/log/secure 查看 ECS 实例近期登录记录。
执行命令 vi /etc/passwd 查看是否有异常账户,有的话执行命令 usermod -L 用户名 禁用用户或者执行命令 userdel -r 用户名 删除用户。
2、查看 ECS 实例是否有异地登录情况,如有则修改密码为强密码,以 10 位及其以上的大小写字母、数字以及特殊符号组成。
3、查看 Web 服务是否有漏洞,如 struts, ElasticSearch 等,如有则请升级。您也可以登录 云盾安全防护功能 检测 Web 服务是否有漏洞。
4、检查 ECS 实例内部账户密码是否过于简单,例如,MySQL 账户,SQL Server 账户,FTP 账户,Web 管理后台帐号,或者其他密码,并将简单密码重置为复杂密码,以 10 位及其以上的大小写字母、数字以及特殊符号组成。
5、按照对应第三方软件官网指示修复。
开启云盾服务
开启所有 云盾安全防护功能,避免您的 ECS 实例再次遭到恶意攻击。
初始化 ECS 实例
经过以上处理还不能解决问题,建议您初始化 ECS 实例。
登录 ECS 管理控制台。
为故障 ECS 实例 创建快照,包括系统盘和数据盘。
停止故障 ECS 实例后,在操作栏单击 更多 > 重新初始化磁盘,选择重新初始化系统盘和数据盘。
重新部署程序应用并上传杀毒后的数据,重新运行 ECS 实例。
开启所有 云盾安全防护功能。
阿里云代理商凯铧互联提供阿里云服务器/企业邮箱等产品的代购服务,同样的品质,更多贴心的服务,更实惠的价格。 阿里云代理商凯铧互联会为您提供一对一专业全面的技术服务,同时还能为您提供阿里云其他产品购买的专属折扣优惠。通过凯铧互联购买可以获得折上折优惠!若您需要帮助可以直接联系我方客服,阿里云代理商凯铧互联专业技术团队为您提供全面便捷专业的7x24技术服务。 电话专线:136-5130-9831,QQ:3398234753。