检测到ECS服务器被黑客一直使用support账户异常登录,但是在用户管理里面找不到这个账户怎么办?
已解决
每次都是不同的外国IP登录,已经修改过管理员密码了也不行,这个账户在服务器上查不到,现在黑客利用我的服务器IIS做跳板暴力破解我连接的其他服务器,经常被对方封IP,很难受,求大神支招
写回答
-
推荐回答登录阿里云安全中心控制台,依次点击【安全预防】、【异常登录】,即可进入异常登录模块。异常登录行为在实际中无法预测其来源信息,但您可以确认正常来源的登录,故异常检测是通过设置正常登录规则和告警功能来实现的。正常登录规则设置是用来设置哪些登录行为是正常的登录行为,通过与设置的正常登录比较,区分出异常登录的行为。 正常该模块操作步骤如下: Step1:点击【正常登录规则设置】或者【设置正常登录规则】,进入正常登录规则设置页面。 Step2:在正常登录规则设置页面您可以对已设置的规则进行筛选查看、编辑与删除等操作。点击【新建正常登录规则】,进入具体正常登录规则设置。 您可以参考以下参数说明,设置正常登录规则。
参数说明 常用登录IP或CIDR输入正常登录来源的阿里云服务器IP或者网段,点击” ”可连续输入多个。 常用登录时间选择正常登录的时间段,点击” ”可连续选择多个。 常用登录区域选择正常登录来源IP所属区域,点击” ”可选择输入多个。常用登录账号输入正常登录的账号,多个以逗号相隔。 应用服务器选择被登录阿里云服务器的IP,即您想保护的阿里云服务器。 描述对此条正常规则的具体描述。说明:常用登录IP或CIDR、常用登录时间、常用登录区域、常用登录账号为非必填项,但是它们至少填一个。
Step3:规则建立后则立即生效,且与所有已建立的规则相互叠加共同作用。此时您可在异常登录模块首页,查看是否有异常登录行为。如果有,您可以根据实际需求,对其进行【手动封停】。说明:封停成功后,该源IP将无法登录您保护的阿里云服务器。如需登录,需要您点击【手动解封】。 Step4:如果您想实时知道异常登录情况,可点击【消息设置】,勾选异常登录短信/邮件提醒,当有异常登录时,您将会立刻收到短信/邮件通知。
2022-11-07 08:16:03赞同 展开评论 打赏 -
十分耕耘,一定会有一分收获!在登录ECS实例时,发现ECS实例内存在异常账号。
问题原因 账号可能为非正常创建,ECS实例存在被入侵的风险。
解决方案 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。 请先确认异常账号是否为他人创建,则为正常创建流程。如果为非正常创建,请检查账号的名称,若为一些应用创建的账号,则会和应用相关,例如mysql、tcpdump账号等。 如果和应用无关,且类似管理员账户名称,例如Administrators,则ECS实例存在被入侵风险,请根据现场实际情况,选择下列对应的步骤进行修复。
系统中删除异常账号 使用云安全中心修复 系统中删除异常账号 请参考下列步骤,查看ECS实例中是否存在异常账号:
Linux实例 登录ECS实例,详情请参见连接方式概述。 执行vi /etc/passwd命令,查看是否存在异常账号。如果存在异常账号,则执行usermod -L [$User]命令,禁用该异常账户,或者执行userdel -r [$User]命令,删除该异常账户。 说明:[$User]为异常账号名。 Windows实例 说明:本小节在Windows2012系统中进行了验证。 删除账户名末尾有美元字符($)的账户,一般情况下,黑客创建的账户名末尾有字符($)。 登录ECS实例,详情请参见连接方式概述。 按左下角的Win键,选择控制面板,依次单击用户账户>管理其他账户。 找到账户名末尾有美元字符($)的账户名并删除即可。 黑客可能在您的ECS实例内创建隐藏账户,本地账户无法查看隐藏账户,您可以通过修改注册表,修改Administrator账户的权限,建议您在修改注册表前先备份数据,避免操作出错。 登录ECS实例,详情请参见连接方式概述。 找到运行程序,输入regedt32.exe。 选择HKEY_LOCAL_MACHINE>SAM,默认情况下您看不到里面的内容。 单击SAM,右键并选择权限,选择Administrators,允许列勾选权限为完全控制,然后单击确定。 选择开始>运行,输入regedit。 选择HKEY_LOCAL_MACHINE>SAM>SAM>Domains>Account>Users>Names,显示当前ECS实例中的所有账户名。删除本地账户中不存在的账户,即可删除隐藏账户。 使用云安全中心修复 登录云安全中心控制台,选择威胁检测>安全告警处理,查看ECS实例是否存在被入侵的提示,有关告警信息请参见安全告警类型概述。 可以考虑升级到付费版企业云安全中心,提供相关病毒云查杀功能,或者在机器上安装第三方安全软件来尝试做下全盘查杀。并删除新增的异常账号,后续做好安全加固。 说明:如果异常账号持续无法删除,且环境重建成本不高,可以备份数据,直接初始化系统盘,彻底恢复此问题。操作前务必做好备份,具体步骤请参见重新初始化系统盘。
2022-10-27 13:50:10赞同 展开评论 打赏 -
亚马逊云科技合作伙伴解决方案架构师,亚马逊云科技User Group Leader,多年云计算经验,csdn/阿里云等平台优质作者,亚马逊云科技社区建设者,亚马逊云科技培训与认证云领袖合作作者,专注于云计算、云原生领域。将登录IP直接加入防火墙和VPC的ACL拒绝规则 修改RDP的连接规则,仅允许你所在位置ip进行登录
2022-10-24 13:01:32赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
