ECS实例存在对外的DDoS攻击行为导致其被锁定的处理办法

ECS实例存在对外的DDoS攻击行为导致其被锁定的处理办法

更新时间:2020-11-11 16:31:37

免责声明:本文档可能包含第三方产品信息,该信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响,不做任何暗示或其他形式的承诺。

概述

当您的ECS实例在ECS控制台中的状态为锁定,且又接收到ECS实例关停的官方短信或邮件通知时,表示您的ECS实例已被安全锁定。这是因为阿里云检测到您的ECS实例存在对外DDoS攻击的行为,影响云平台的网络稳定,所以被安全系统锁定。本文主要介绍ECS实例存在对外的DDoS攻击行为导致其被锁定的处理办法。

详细信息

当您的ECS实例安全锁定后,表示病毒已经入侵,请您及时创建快照备份磁盘数据,详细步骤请参见创建快照,然后执行以下步骤进行修复。

查看ECS实例是否存在病毒或漏洞

请参见云服务器ECS感染木马病毒后的解决方法,查看您的ECS实例中是否存在病毒或漏洞,然后进行修复。

初始化ECS实例

若问题仍未解决,建议您参考以下步骤,初始化ECS实例:

  1. 登录ECS管理控制台
  2. 给问题ECS实例创建快照,包括系统盘和数据盘,详情请参见创建快照
  3. 重新初始化系统盘和数据盘,详情请参见重新初始化系统盘重新初始化数据盘
  4. 重新部署应用程序并上传经过杀毒后的数据,重新运行ECS实例。

接入云安全中心

若问题已经解决,您可以接入云安全中心,避免您的ECS实例再次遭到恶意攻击。

  • 云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,通过防勒索、防病毒、防篡改、合规检查等安全能力,实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要求。
  • 云安全中心自动为您开通基础版功能。基础版仅提供主机异常登录检测、漏洞检测、云产品安全配置项检测,如需更多高级威胁检测、漏洞修复、病毒查杀等功能。

相关文档

您还可以结合以下文档,参见更多有关ECS实例被攻击或者如何防御的信息:

更多信息

以下命令为Linux系统中常见的木马清理命令,请结合现场实际环境,谨慎使用:

  • chattr -i /usr/bin/.sshd
  • rm -f /usr/bin/.sshd
  • rm -f -r /usr/bin/bsd-port
  • rm -r -f /root/.ssh
  • rm -r -f /usr/bin/bsd-port
  • cp /usr/bin/dpkgd/ps /bin/ps
  • cp /usr/bin/dpkgd/netstat /bin/netstat
  • cp /usr/bin/dpkgd/lsof /usr/sbin/lsof
  • cp /usr/bin/dpkgd/ss /usr/sbin/ss
  • find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9

适用于

  • 云服务器ECS