小編給大家分享一下處理ECS實例對外DDoS攻擊導(dǎo)致被鎖定的方法，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

成都創(chuàng)新互聯(lián)公司于2013年創(chuàng)立，公司以成都網(wǎng)站建設(shè)、成都網(wǎng)站設(shè)計、系統(tǒng)開發(fā)、網(wǎng)絡(luò)推廣、文化傳媒、企業(yè)宣傳、平面廣告設(shè)計等為主要業(yè)務(wù)，適用行業(yè)近百種。服務(wù)企業(yè)客戶數(shù)千家，涉及國內(nèi)多個省份客戶。擁有多年網(wǎng)站建設(shè)開發(fā)經(jīng)驗。為企業(yè)提供專業(yè)的網(wǎng)站建設(shè)、創(chuàng)意設(shè)計、宣傳推廣等服務(wù)。 通過專業(yè)的設(shè)計、獨特的風(fēng)格，為不同客戶提供各種風(fēng)格的特色服務(wù)。

如何處理 ECS 實例對外 DDoS 攻擊導(dǎo)致被鎖定

當(dāng)您的 ECS 實例在 ECS 控制臺的狀態(tài)為鎖定，同時收到阿里云實例關(guān)停的官方短信或郵件通知時，代表您的 ECS 實例已被安全鎖定。這是因為阿里云檢測到您的 ECS 實例有對外 DDoS 攻擊行為，影響云平臺網(wǎng)絡(luò)穩(wěn)定，所以被安全系統(tǒng)鎖定。

安全鎖定后，表示病毒已經(jīng)入侵，建議您及時 創(chuàng)建快照 備份磁盤數(shù)據(jù)。

排查 ECS 實例病毒

查看 ECS 實例網(wǎng)絡(luò)連接狀態(tài)，分析是否有可疑發(fā)送行為，如有則停止。

Linux 實例：執(zhí)行命令 netstat -a 查看網(wǎng)絡(luò)連接。

Windows 實例：在 PowerShell 環(huán)境下執(zhí)行命令 netstat -a -n -o查看網(wǎng)絡(luò)連接。

使用殺毒軟件查殺病毒。推薦使用 安騎士 全盤殺毒。

Linux 常見木馬清理命令：

chattr -i /usr/bin/.sshd
rm -f /usr/bin/.sshd
rm -f -r /usr/bin/bsd-port
rm -r -f /root/.ssh
rm -r -f /usr/bin/bsd-port
cp /usr/bin/dpkgd/ps /bin/ps
cp /usr/bin/dpkgd/netstat /bin/netstat
cp /usr/bin/dpkgd/lsof /usr/sbin/lsof
cp /usr/bin/dpkgd/ss /usr/sbin/ss
find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | 
awk -F/ '{print $NF}' | xargs killall -9

排查 ECS 實例漏洞

查看 ECS 實例賬號是否異常。

Windows 實例

刪除賬戶名末尾有美元字符（$）的賬號，一般情況下，黑客創(chuàng)建的賬戶名末尾有字符 $。

黑客可能在您的 ECS 實例內(nèi)創(chuàng)建隱藏用戶，本地用戶無法查看隱藏賬戶，您可以通過修改注冊表修改 administrator 權(quán)限，建議您在修改注冊表前先備份數(shù)據(jù)，避免操作出錯：

遠(yuǎn)程連接 并登錄到實例。

點擊開始 > 運行，輸入 regedt32.exe。

選擇 HKEY_LOCAL_MACHINE/SAM/SAM，默認(rèn)情況下您看不到里面的內(nèi)容。

單擊 SAM，右擊選擇權(quán)限，選擇 administrator，勾選權(quán)限為完全控制，單擊確定。

選擇開始 > 運行，輸入 regedit。

選擇 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account，顯示當(dāng)前 ECS 實例的所有用戶名，刪除本地賬戶中沒有的賬戶即可刪除隱藏用戶。

Linux 實例

執(zhí)行命令 last 或者 /var/log/secure 查看 ECS 實例近期登錄記錄。

執(zhí)行命令 vi /etc/passwd 查看是否有異常賬戶，有的話執(zhí)行命令 usermod -L 用戶名 禁用用戶或者執(zhí)行命令 userdel -r 用戶名 刪除用戶。

查看 ECS 實例是否有異地登錄情況，如有則修改密碼為強密碼，以 10 位及其以上的大小寫字母、數(shù)字以及特殊符號組成。

查看 Web 服務(wù)是否有漏洞，如 struts, ElasticSearch 等，如有則請升級。您也可以登錄 云盾安全防護功能 檢測 Web 服務(wù)是否有漏洞。

檢查 ECS 實例內(nèi)部賬戶密碼是否過于簡單，例如，MySQL 賬戶，SQL Server 賬戶，F(xiàn)TP 賬戶，Web 管理后臺帳號，或者其他密碼，并將簡單密碼重置為復(fù)雜密碼，以 10 位及其以上的大小寫字母、數(shù)字以及特殊符號組成。

按照對應(yīng)第三方軟件官網(wǎng)指示修復(fù)。

開啟云盾服務(wù)

開啟所有 云盾安全防護功能，避免您的 ECS 實例再次遭到惡意攻擊。

初始化 ECS 實例

經(jīng)過以上處理還不能解決問題，建議您初始化 ECS 實例。

登錄 ECS 管理控制臺。

為故障 ECS 實例 創(chuàng)建快照，包括系統(tǒng)盤和數(shù)據(jù)盤。

停止故障 ECS 實例后，在操作欄單擊 更多 > 重新初始化磁盤，選擇重新初始化系統(tǒng)盤和數(shù)據(jù)盤。

重新部署程序應(yīng)用并上傳殺毒后的數(shù)據(jù)，重新運行 ECS 實例。

開啟所有 云盾安全防護功能。

以上是處理ECS實例對外DDoS攻擊導(dǎo)致被鎖定的方法的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對大家有所幫助，如果還想學(xué)習(xí)更多知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！