問(wèn)題描述

在登錄ECS實(shí)例時(shí)，發(fā)現(xiàn)存在異常的用戶賬號(hào)。

問(wèn)題原因

賬號(hào)可能為非正常創(chuàng)建，ECS實(shí)例存在被入侵的風(fēng)險(xiǎn)。

解決方案

阿里云提醒您：

?如果您對(duì)實(shí)例或數(shù)據(jù)有修改、變更等風(fēng)險(xiǎn)操作，務(wù)必注意實(shí)例的容災(zāi)、容錯(cuò)能力，確保數(shù)據(jù)安全。

?如果您對(duì)實(shí)例（包括但不限于ECS、RDS）等進(jìn)行配置與數(shù)據(jù)修改，建議提前創(chuàng)建快照或開(kāi)啟RDS日志備份等功能。

?如果您在阿里云平臺(tái)授權(quán)或者提交過(guò)登錄賬號(hào)、密碼等安全信息，建議您及時(shí)修改。

1.請(qǐng)先確認(rèn)異常賬號(hào)是否為他人創(chuàng)建，則為正常創(chuàng)建流程。如果為非正常創(chuàng)建，請(qǐng)檢查賬號(hào)的名稱，若為一些應(yīng)用創(chuàng)建的賬號(hào)，則會(huì)和應(yīng)用相關(guān)，比如mysql、tcpdump賬號(hào)等。 如果和應(yīng)用無(wú)關(guān)，且類似管理員賬戶名稱，例如administrator，則ECS實(shí)例存在被入侵風(fēng)險(xiǎn)。

2.登錄云安全中心控制臺(tái)，，選擇威脅檢測(cè)>安全告警處理，查看ECS實(shí)例是否存在被入侵的提示，請(qǐng)參見(jiàn)安全告警類型概述。

3.可以考慮升級(jí)到付費(fèi)版企業(yè)云安全中心，提供相關(guān)病毒云查殺功能，或者在機(jī)器上安裝第三方安全軟件來(lái)嘗試做下全盤(pán)查殺。并刪除新增的異常賬號(hào)，后續(xù)做好安全加固。

?Windows系統(tǒng)的ECS實(shí)例安全加固，請(qǐng)參見(jiàn)Windows操作系統(tǒng)安全加固。

?Linux系統(tǒng)的ECS實(shí)例安全加固，請(qǐng)參見(jiàn)Linux操作系統(tǒng)加固。

?如果異常賬號(hào)持續(xù)無(wú)法刪除，且環(huán)境重建成本不高，可以備份數(shù)據(jù)，直接初始化系統(tǒng)盤(pán)，來(lái)徹底恢復(fù)。操作前務(wù)必做好備份，請(qǐng)參見(jiàn)重新初始化系統(tǒng)盤(pán)。

適用于

?云服務(wù)器ECS

阿里云代理商  阿里云分銷商