云服务器 ECS 中病毒/木马了怎么办？

更新时间：访问次数：2143

概述

当ECS实例感染木马病毒后，可能会导致数据丢失，存在业务风险。本文主要介绍ECS实例感染病毒的解决方法和提高ECS安全性的方法。

若您的ECS实例感染了木马病毒，请您及时创建快照备份磁盘数据，详细步骤请参见创建快照，然后执行以下步骤进行修复。

修改ECS实例的密码，详情请参见重置实例登录密码。
说明：建议密码长度不小于8位，并且使用大写字母、小写字母、数字、特殊字符组合。
修改远程登录的端口，具体步骤请参见修改服务器默认远程端口。
开启防火墙限制允许登录的IP地址，只开放特定的服务端口，具体步骤请参见云服务器ECS实例如何配置默认防火墙Firewall。
说明：建议对FTP、数据库等这些不需要对所有用户开放的服务，进行源IP地址的访问控制。
检查是否有开放未授权的端口，如果存在未授权的端口，请关闭未授权的端口，具体步骤请参见Linux系统的ECS实例中通过netstat命令查看和检查系统端口信息的netstat命令处理端口占用章节。
检查是否存在异常的进程在运行，如果存在异常的进程在运行，则关闭该进程，执行ps -ef或top命令查看。
说明：请与服务器管理员确认是否可以删除该异常进程所使用的文件。
安装查杀病毒防木马软件，对服务器进行全盘病毒扫描和查杀。
说明：
- 建议使用阿里云云安全中心服务。
- 如果服务器中安装了Web服务，请限制Web运行账户对文件系统的访问权限，仅开放只读权限。
- 若需要删除系统中的未知账户，具体步骤请参见ECS实例中存在异常账号。

修改ECS实例的密码，详情请参见重置实例登录密码。
说明：建议密码长度不小于8位，并且使用大写字母、小写字母、数字、特殊字符组合。
修改远程登录端口，具体步骤请参见如何查看和修改Windows实例远程桌面的默认端口。
开启防火墙限制允许登录的IP地址，只开放特定的服务端口，具体步骤请参见如何配置Windows实例远程连接的防火墙。
说明：建议对FTP、数据库等这些不需要对所有用户开放的服务进行源IP地址访问控制。
检查是否有开放未授权的端口，如果存在未授权的开放端口，请关闭未授权的端口。
选择开始>运行，输入cmd，打开命令行工具，执行netstat /ano命令检查端口。
检查是否有陌生的异常进程在运行，如果存在陌生的异常进程在运行，则关闭该进程。
选择开始>运行，输入msinfo32，双击软件环境，选择正在运行任务，进行检查。

说明：请与服务器管理员确认是否可以删除该异常进程所使用的文件。
安装查杀病毒防木马软件，对服务器进行全盘病毒扫描和查杀。
说明：
- 建议使用云安全中心服务。
- 若需要删除系统中的未知账户，需要检查注册表中的SAM键值是否存在隐藏账户，具体步骤请参见ECS实例中存在异常账号。

若ECS实例没有设置安全防护，可能会带来许多不良的影响。修复ECS实例感染病毒之后，您可以结合实际情况，对ECS实例进行病毒防御，加强ECS实例的安全抵御能力，具体步骤请参见提高ECS实例的安全性。

关于此文档暂时还没有FAQ

有用(0) 我要提问