• ECS实例中存在异常账号

ECS实例中存在异常账号

更新时间:2020-11-11 16:57

问题描述

在登录ECS实例时,发现ECS实例内存在异常账号。

问题原因

账号可能为非正常创建,ECS实例存在被入侵的风险。

解决方案

阿里云提醒您:

  • 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
  • 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
  • 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。

请先确认异常账号是否为他人创建,则为正常创建流程。如果为非正常创建,请检查账号的名称,若为一些应用创建的账号,则会和应用相关,例如mysql、tcpdump账号等。 如果和应用无关,且类似管理员账户名称,例如Administrators,则ECS实例存在被入侵风险,请根据现场实际情况,选择下列对应的步骤进行修复。

系统中删除异常账号

请参考下列步骤,查看ECS实例中是否存在异常账号:

  • Linux实例
    1. 登录ECS实例,详情请参见连接方式概述
    2. 执行vi /etc/passwd命令,查看是否存在异常账号。如果存在异常账号,则执行usermod -L [$User]命令,禁用该异常账户,或者执行userdel -r [$User]命令,删除该异常账户。
      说明:[$User]为异常账号名。
  • Windows实例
    说明:本小节在Windows2012系统中进行了验证。
    1. 删除账户名末尾有美元字符($)的账户,一般情况下,黑客创建的账户名末尾有字符($)。
      1. 登录ECS实例,详情请参见连接方式概述
      2. 按左下角的Win键,选择控制面板,依次单击用户账户>管理其他账户
      3. 找到账户名末尾有美元字符($)的账户名并删除即可。
    2. 黑客可能在您的ECS实例内创建隐藏账户,本地账户无法查看隐藏账户,您可以通过修改注册表,修改Administrator账户的权限,建议您在修改注册表前先备份数据,避免操作出错。
      1. 登录ECS实例,详情请参见连接方式概述
      2. 找到运行程序,输入regedt32.exe
      3. 选择HKEY_LOCAL_MACHINE>SAM,默认情况下您看不到里面的内容。
      4. 单击SAM,右键并选择权限,选择Administrators允许列勾选权限为完全控制,然后单击确定
      5. 选择开始>运行,输入regedit
      6. 选择HKEY_LOCAL_MACHINE>SAM>SAM>Domains>Account>Users>Names,显示当前ECS实例中的所有账户名。删除本地账户中不存在的账户,即可删除隐藏账户。

使用云安全中心修复

  1. 登录云安全中心控制台,选择威胁检测>安全告警处理,查看ECS实例是否存在被入侵的提示,有关告警信息请参见安全告警类型概述
  2. 可以考虑升级到付费版企业云安全中心,提供相关病毒云查杀功能,或者在机器上安装第三方安全软件来尝试做下全盘查杀。并删除新增的异常账号,后续做好安全加固。

适用于

  • 云服务器ECS

如果您的问题仍未解决,您可以在阿里云社区免费咨询,或提交工单联系阿里云技术支持。