處理ECS實(shí)例對(duì)外DDoS攻擊導(dǎo)致被鎖定的方法

小編給大家分享一下處理ECS實(shí)例對(duì)外DDoS攻擊導(dǎo)致被鎖定的方法，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

如何處理 ECS 實(shí)例對(duì)外 DDoS 攻擊導(dǎo)致被鎖定

當(dāng)您的 ECS 實(shí)例在 ECS 控制臺(tái)的狀態(tài)為鎖定，同時(shí)收到阿里云實(shí)例關(guān)停的官方短信或郵件通知時(shí)，代表您的 ECS 實(shí)例已被安全鎖定。這是因?yàn)榘⒗镌茩z測(cè)到您的 ECS 實(shí)例有對(duì)外 DDoS 攻擊行為，影響云平臺(tái)網(wǎng)絡(luò)穩(wěn)定，所以被安全系統(tǒng)鎖定。

安全鎖定后，表示病毒已經(jīng)入侵，建議您及時(shí) 創(chuàng)建快照 備份磁盤(pán)數(shù)據(jù)。

排查 ECS 實(shí)例病毒

查看 ECS 實(shí)例網(wǎng)絡(luò)連接狀態(tài)，分析是否有可疑發(fā)送行為，如有則停止。

Linux 實(shí)例：執(zhí)行命令 netstat -a 查看網(wǎng)絡(luò)連接。

Windows 實(shí)例：在 PowerShell 環(huán)境下執(zhí)行命令 netstat -a -n -o查看網(wǎng)絡(luò)連接。

使用殺毒軟件查殺病毒。推薦使用 安騎士 全盤(pán)殺毒。

Linux 常見(jiàn)木馬清理命令：

chattr -i /usr/bin/.sshd
rm -f /usr/bin/.sshd
rm -f -r /usr/bin/bsd-port
rm -r -f /root/.ssh
rm -r -f /usr/bin/bsd-port
cp /usr/bin/dpkgd/ps /bin/ps
cp /usr/bin/dpkgd/netstat /bin/netstat
cp /usr/bin/dpkgd/lsof /usr/sbin/lsof
cp /usr/bin/dpkgd/ss /usr/sbin/ss
find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | 
awk -F/ '{print $NF}' | xargs killall -9

排查 ECS 實(shí)例漏洞

查看 ECS 實(shí)例賬號(hào)是否異常。

Windows 實(shí)例

刪除賬戶名末尾有美元字符（$）的賬號(hào)，一般情況下，黑客創(chuàng)建的賬戶名末尾有字符 $。

黑客可能在您的 ECS 實(shí)例內(nèi)創(chuàng)建隱藏用戶，本地用戶無(wú)法查看隱藏賬戶，您可以通過(guò)修改注冊(cè)表修改 administrator 權(quán)限，建議您在修改注冊(cè)表前先備份數(shù)據(jù)，避免操作出錯(cuò)：

遠(yuǎn)程連接 并登錄到實(shí)例。

點(diǎn)擊開(kāi)始 > 運(yùn)行，輸入 regedt32.exe。

選擇 HKEY_LOCAL_MACHINE/SAM/SAM，默認(rèn)情況下您看不到里面的內(nèi)容。

單擊 SAM，右擊選擇權(quán)限，選擇 administrator，勾選權(quán)限為完全控制，單擊確定。

選擇開(kāi)始 > 運(yùn)行，輸入 regedit。

選擇 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account，顯示當(dāng)前 ECS 實(shí)例的所有用戶名，刪除本地賬戶中沒(méi)有的賬戶即可刪除隱藏用戶。

Linux 實(shí)例

執(zhí)行命令 last 或者 /var/log/secure 查看 ECS 實(shí)例近期登錄記錄。

執(zhí)行命令 vi /etc/passwd 查看是否有異常賬戶，有的話執(zhí)行命令 usermod -L 用戶名 禁用用戶或者執(zhí)行命令 userdel -r 用戶名 刪除用戶。

查看 ECS 實(shí)例是否有異地登錄情況，如有則修改密碼為強(qiáng)密碼，以 10 位及其以上的大小寫(xiě)字母、數(shù)字以及特殊符號(hào)組成。

查看 Web 服務(wù)是否有漏洞，如 struts, ElasticSearch 等，如有則請(qǐng)升級(jí)。您也可以登錄 云盾安全防護(hù)功能 檢測(cè) Web 服務(wù)是否有漏洞。

檢查 ECS 實(shí)例內(nèi)部賬戶密碼是否過(guò)于簡(jiǎn)單，例如，MySQL 賬戶，SQL Server 賬戶，F(xiàn)TP 賬戶，Web 管理后臺(tái)帳號(hào)，或者其他密碼，并將簡(jiǎn)單密碼重置為復(fù)雜密碼，以 10 位及其以上的大小寫(xiě)字母、數(shù)字以及特殊符號(hào)組成。

按照對(duì)應(yīng)第三方軟件官網(wǎng)指示修復(fù)。

開(kāi)啟云盾服務(wù)

開(kāi)啟所有 云盾安全防護(hù)功能，避免您的 ECS 實(shí)例再次遭到惡意攻擊。

初始化 ECS 實(shí)例

經(jīng)過(guò)以上處理還不能解決問(wèn)題，建議您初始化 ECS 實(shí)例。

登錄 ECS 管理控制臺(tái)。

為故障 ECS 實(shí)例 創(chuàng)建快照，包括系統(tǒng)盤(pán)和數(shù)據(jù)盤(pán)。

停止故障 ECS 實(shí)例后，在操作欄單擊 更多 > 重新初始化磁盤(pán)，選擇重新初始化系統(tǒng)盤(pán)和數(shù)據(jù)盤(pán)。

重新部署程序應(yīng)用并上傳殺毒后的數(shù)據(jù)，重新運(yùn)行 ECS 實(shí)例。

開(kāi)啟所有 云盾安全防護(hù)功能。

以上是處理ECS實(shí)例對(duì)外DDoS攻擊導(dǎo)致被鎖定的方法的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道！