403 技术社区[云栖]

ECS被入侵处理__攻击防护_Web 应用防火墙-阿里云

1.接入WAF之前已被入侵，需要先把服务器清理干净

2.WAF配置好后，没有更改DNS解析，访问流量实际上还是直接去向服务器，没有过WAF防御

3.使用WAF之前，ECS IP已经暴露，且未配置安全组，黑客直接攻击ECS

4.ECS服务器上还有其他站点，此站点未受到WAF防护，导致服务器被“旁注”

5.非Web攻击方式入侵，比如暴力破解ecs ssh密码

如何解决？

1.按照本文指导，将服务器清理干净

2.确保已经修改DNS解析，让网站在WAF防御之下：

3.配置安全组，防止直接绕过WAF打ECS

4.确保该ECS上所有HTTP业务都经过WAF防御

5.确保ECS、数据库有强密码

注意：清理主机木马、病毒前请先[创建快照]备份，避免误操作导致数据丢失无法还原。

Linux常见木马清理命令:

chattr -i /usr/bin/.sshd
rm -f /usr/bin/.sshd
chattr -i /usr/bin/.swhd
rm -f /usr/bin/.swhd
rm -f -r /usr/bin/bsd-port
cp /usr/bin/dpkgd/ps /bin/ps
cp /usr/bin/dpkgd/netstat /bin/netstat
cp /usr/bin/dpkgd/lsof /usr/sbin/lsof
cp /usr/bin/dpkgd/ss /usr/sbin/ss
rm -r -f /root/.ssh
rm -r -f /usr/bin/bsd-port
find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk ‘{print $11}’ | awk -F/ ‘{print $NF}’ | xargs killall -9

查看服务器账号是否有异常，如有则停止删除掉。
查看服务器是否有异地登录情况，如有则修改密码为强密码（字每+数字+特殊符号）大小写，10 位及以上。
查看 Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic 后台密码，提高密码强度（字每+数字+特殊符号）大小写，10 位及以上，不使用建议关闭 8080 管理端口。
查看WEB应用是否有漏洞，如 struts, ElasticSearch 等，确保在网站在WAF防御之下。建议结安骑士杀木马、病毒，安装补丁
Jenkins管理员无密码远程执行命令漏洞，如有请设置密码或关闭 8080端口管理页面。
查看 Redis 无密码可远程写入文件漏洞，检查 /root/ 下黑客创建的SSH 登录密钥文件，删除掉，修改 Redis 为有密码访问并使用强密码，不需要公网访问最好 bind 127.0.0.1 本地访问。
查看 MySQL、SQLServer、FTP、WEB 管理后台等其它有设置密码的地方，提高密码强度（字每+数字+特殊符号）大小写，10 位及以上。

1.确保该ECS上所有网站都使用了WAF

2.使用安骑士，对主机扫描，杀木马，并修复漏洞

经过以上处理还不能解决问题，强烈建议您执行下列操作：

如果以上方式仍然无法解决您的问题，或者以上方式对于您过于复杂，可以购买云盾安全管家（SOS）服务，通过付费方式，让云上专家进行应急处理：https://www.aliyun.com/product/sos

最后更新：2016-11-23 17:16:09