免责声明:本文档可能包含第三方产品信息,该信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响,不做任何暗示或其他形式的承诺。
当您的ECS实例在ECS控制台中的状态为锁定,且又接收到ECS实例关停的官方短信或邮件通知时,表示您的ECS实例已被安全锁定。这是因为阿里云检测到您的ECS实例存在对外DDoS攻击的行为,影响云平台的网络稳定,所以被安全系统锁定。本文主要介绍ECS实例存在对外的DDoS攻击行为导致其被锁定的处理办法。
当您的ECS实例安全锁定后,表示病毒已经入侵,请您及时创建快照备份磁盘数据,详细步骤请参见创建快照,然后执行以下步骤进行修复。
请参见云服务器ECS感染木马病毒后的解决方法,查看您的ECS实例中是否存在病毒或漏洞,然后进行修复。
若问题仍未解决,建议您参考以下步骤,初始化ECS实例:
若问题已经解决,您可以接入云安全中心,避免您的ECS实例再次遭到恶意攻击。
您还可以结合以下文档,参见更多有关ECS实例被攻击或者如何防御的信息:
以下命令为Linux系统中常见的木马清理命令,请结合现场实际环境,谨慎使用:
chattr -i /usr/bin/.sshdrm -f /usr/bin/.sshdrm -f -r /usr/bin/bsd-portrm -r -f /root/.sshrm -r -f /usr/bin/bsd-portcp /usr/bin/dpkgd/ps /bin/pscp /usr/bin/dpkgd/netstat /bin/netstatcp /usr/bin/dpkgd/lsof /usr/sbin/lsofcp /usr/bin/dpkgd/ss /usr/sbin/ssfind /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9