当您的 ECS 实例在 ECS 控制台的状态为锁定,同时收到阿里云实例关停的官方短信或邮件通知时,代表您的 ECS 实例已被安全锁定。这是因为阿里云检测到您的 ECS 实例有对外 DDoS 攻击行为,影响云平台网络稳定,所以被安全系统锁定。
安全锁定后,表示病毒已经入侵,建议您及时 创建快照 备份磁盘数据。
排查 ECS 实例病毒
1.查看 ECS 实例网络连接状态,分析是否有可疑发送行为,如有则停止。
Linux 实例:执行命令netstat -a 查看网络连接。
Windows 实例:在PowerShell 环境下执行命令 netstat -a -n -o查看网络连接。
2.使用杀毒软件查杀病毒。推荐使用 安骑士 全盘杀毒。
Linux 常见木马清理命令:
chattr -i /usr/bin/.sshd
rm -f /usr/bin/.sshd
rm -f -r /usr/bin/bsd-port
rm -r -f /root/.ssh
rm -r -f /usr/bin/bsd-port
cp /usr/bin/dpkgd/ps /bin/ps
cp /usr/bin/dpkgd/netstat /bin/netstat
cp /usr/bin/dpkgd/lsof /usr/sbin/lsof
cp /usr/bin/dpkgd/ss /usr/sbin/ss
find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9
排查 ECS 实例漏洞
1.查看 ECS 实例账号是否异常。
Windows 实例
删除账户名末尾有美元字符($)的账号,一般情况下,黑客创建的账户名末尾有字符 $。
黑客可能在您的 ECS 实例内创建隐藏用户,本地用户无法查看隐藏账户,您可以通过修改注册表修改 administrator 权限,建议您在修改注册表前先备份数据,避免操作出错:
远程连接 并登录到实例。
点击开始 > 运行,输入regedt32.exe。
选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认情况下您看不到里面的内容。
单击 SAM,右击选择权限,选择administrator,勾选权限为完全控制,单击确定。
选择开始 > 运行,输入regedit。
选择HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account,显示当前 ECS 实例的所有用户名,删除本地账户中没有的账户即可删除隐藏用户。
Linux 实例
a.执行命令 last 或者/var/log/secure 查看 ECS 实例近期登录记录。
b.执行命令 vi /etc/passwd 查看是否有异常账户,有的话执行命令 usermod -L 用户名 禁用用户或者执行命令 userdel -r 用户名删除用户。
查看 ECS 实例是否有异地登录情况,如有则修改密码为强密码,以 10 位及其以上的大小写字母、数字以及特殊符号组成。
2.查看 Web 服务是否有漏洞,如struts, ElasticSearch 等,如有则请升级。您也可以登录 云盾安全防护功能 检测 Web 服务是否有漏洞。
3.检查 ECS 实例内部账户密码是否过于简单,例如,MySQL 账户,SQL Server 账户,FTP 账户,Web 管理后台帐号,或者其他密码,并将简单密码重置为复杂密码,以 10 位及其以上的大小写字母、数字以及特殊符号组成。
按照对应第三方软件官网指示修复。
开启云盾服务
开启所有 云盾安全防护功能,避免您的 ECS 实例再次遭到恶意攻击。
初始化 ECS 实例
经过以上处理还不能解决问题,建议您初始化 ECS 实例。
1.登录 ECS 管理控制台。
2.为故障 ECS 实例 创建快照,包括系统盘和数据盘。
3.停止故障 ECS 实例后,在操作栏单击 更多 > 重新初始化磁盘,选择重新初始化系统盘和数据盘。
4.重新部署程序应用并上传杀毒后的数据,重新运行 ECS 实例。
5.开启所有 云盾安全防护功能。
原文链接
:如何处理 ECS 实例对外 DDoS 攻击导致被锁定
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。