展开
当前位置:
首页 > 帮助文档 > 解决方案 > ECS云服务器对外攻击解锁后解决方案

ECS云服务器对外攻击解锁后解决方案

服务器解锁后排查解决方案:

注意:排查前请先创建快照备份,避免误操作导致数据丢失无法还原。

 

2015年11月10日,我们检测到黑客大规模利用redis漏洞攻击,植入木马,请务必重点关注。

如果您有安全技术支持需求,如排查服务器WEB应用被黑,网站挂黑链,网站网页被修改,服务器中马清理,漏洞检测并修复,安全事件快速响应,您可以购买我们的付费云托管服务http://www.aliyun.com/product/mss 。

1、病毒木马排查。
1.1、使用netstat查看网络连接,分析是否有可疑发送行为,如有则停止。 (linux常见木马,清理命令chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9;)

1.2、使用杀毒软件进行病毒查杀。
2、服务器漏洞排查并修复

2.1、查看服务器账号是否有异常,如有则停止删除掉。
2.2、查看服务器是否有异地登录情况,如有则修改密码为强密码(字每+数字+特殊符号)大小写,10位及以上。
2.3、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic后台密码,提高密码强度(字每+数字+特殊符号)大小写,10位及以上,不使用建议关闭8080管理端口。
2.4、查看WEB应用是否有漏洞,如struts, ElasticSearch等,如有则请升级。
2.5、Jenkins管理员无密码远程执行命令漏洞,如有请设置密码或关闭8080端口管理页面。

2.6、查看Redis无密码可远程写入文件漏洞,检查/root/下黑客创建的SSH登录密钥文件,删除掉,修改Redis为有密码访问并使用强密码,不需要公网访问最好bind 127.0.0.1本地访问。

2.7、查看MySQL、SQLServer、FTP、WEB管理后台等其它有设置密码的地方,提高密码强度(字每+数字+特殊符号)大小写,10位及以上。
2.8、如果有安装第三方软件,请按官网指引进行修复。

3、开启云盾服务,并开启所有云盾安全防护功能对您的主机进行安全防护,免于再次遭到恶意攻击。

实施安全防御方案
请您尽快开启安骑士服务,开启步骤【点此查看】。
同时也建议您配置云盾服务,步骤【点此查看】。
4、如果问题仍未解决
经过以上处理还不能解决问题,强烈建议您将系统盘和数据盘的数据完全下载备份到本地保存后,重置全盘(登陆www.aliyun.com, 进入我的阿里云-》管理控制台-》云服务器ECS控制台-》点击进行您需要进行初始化的实例,备份完服务器数据后关闭实例,点击“重置磁盘”,按您的实际情况选择系统盘和数据盘重置即可)后,重新部署程序应用并对数据进行杀毒后上传,并重新进行前述的3步处理。

阿里云代理网,享受阿里云代理价

ECS云服务器对外攻击解锁后解决方案:等您坐沙发呢!

发表评论

表情
还能输入210个字