403      人物

ECS被入侵處理__攻擊防護_Web 應用防火牆-阿裏雲

使用WAF之後，還是被入侵事件，主要有以下原因：

1.接入WAF之前已被入侵，需要先把服務器清理幹淨

2.WAF配置好後，沒有更改DNS解析，訪問流量實際上還是直接去向服務器，沒有過WAF防禦

3.使用WAF之前，ECS IP已經暴露，且未配置安全組，黑客直接攻擊ECS

4.ECS服務器上還有其他站點，此站點未受到WAF防護，導致服務器被“旁注”

5.非Web攻擊方式入侵，比如暴力破解ecs ssh密碼

如何解決？

1.按照本文指導，將服務器清理幹淨

2.確保已經修改DNS解析，讓網站在WAF防禦之下：

https://help.aliyun.com/document_detail/35620.html

3.配置安全組，防止直接繞過WAF打ECS

https://help.aliyun.com/document_detail/42726.html

4.確保該ECS上所有HTTP業務都經過WAF防禦

5.確保ECS、數據庫有強密碼

注意：清理主機木馬、病毒前請先[創建快照]備份，避免誤操作導致數據丟失無法還原。

排查病毒木馬

1. 使用 netstat 查看網絡連接，分析是否有可疑發送行為，如有則停止。
2. 使用殺毒軟件進行病毒查殺。

Linux常見木馬清理命令:

• chattr -i /usr/bin/.sshd
• rm -f /usr/bin/.sshd
• chattr -i /usr/bin/.swhd
• rm -f /usr/bin/.swhd
• rm -f -r /usr/bin/bsd-port
• cp /usr/bin/dpkgd/ps /bin/ps
• cp /usr/bin/dpkgd/netstat /bin/netstat
• cp /usr/bin/dpkgd/lsof /usr/sbin/lsof
• cp /usr/bin/dpkgd/ss /usr/sbin/ss
• rm -r -f /root/.ssh
• rm -r -f /usr/bin/bsd-port
• find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk ‘{print $11}’ | awk -F/ ‘{print $NF}’ | xargs killall -9

排查並修複服務器漏洞

1. 查看服務器賬號是否有異常，如有則停止刪除掉。
2. 查看服務器是否有異地登錄情況，如有則修改密碼為強密碼（字每+數字+特殊符號）大小寫，10 位及以上。
3. 查看 Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic 後台密碼，提高密碼強度（字每+數字+特殊符號）大小寫，10 位及以上，不使用建議關閉 8080 管理端口。
4. 查看WEB應用是否有漏洞，如 struts, ElasticSearch 等，確保在網站在WAF防禦之下。建議結安騎士殺木馬、病毒，安裝補丁
5. Jenkins管理員無密碼遠程執行命令漏洞，如有請設置密碼或關閉 8080端口管理頁麵。
6. 查看 Redis 無密碼可遠程寫入文件漏洞，檢查 /root/ 下黑客創建的SSH 登錄密鑰文件，刪除掉，修改 Redis 為有密碼訪問並使用強密碼，不需要公網訪問最好 bind 127.0.0.1 本地訪問。
7. 查看 MySQL、SQLServer、FTP、WEB 管理後台等其它有設置密碼的地方，提高密碼強度（字每+數字+特殊符號）大小寫，10 位及以上。

使用雲盾服務

1.確保該ECS上所有網站都使用了WAF

2.使用安騎士，對主機掃描，殺木馬，並修複漏洞

如果清理不幹淨

經過以上處理還不能解決問題，強烈建議您執行下列操作：

1. 將係統盤和數據盤的數據完全下載備份到本地保存。
2. 重置全盤。登陸 雲服務器ECS控製台。
3. 單擊進行您需要進行初始化的實例，備份完服務器數據。
4. 關閉實例。
5. 單擊 重置磁盤，按您的實際情況選擇係統盤和數據盤重置即可。6. 重新部署程序應用並對數據進行殺毒後上傳，並重新進行前述的 3 步處理。

如果問題仍未解決

如果以上方式仍然無法解決您的問題，或者以上方式對於您過於複雜，可以購買雲盾安全管家（SOS）服務，通過付費方式，讓雲上專家進行應急處理：https://www.aliyun.com/product/sos

最後更新：2016-11-23 17:16:09

  上一篇： CC攻擊如何處理__攻擊防護_Web 應用防火牆-阿裏雲

  下一篇： WordPress反彈攻擊__攻擊防護_Web 應用防火牆-阿裏雲