ECS实例中存在异常账号

问题描述

在登录ECS实例时,发现ECS实例内存在异常账号。

问题原因

账号可能为非正常创建,ECS实例存在被入侵的风险。

解决方案

请先确认异常账号是否为他人创建,则为正常创建流程。如果为非正常创建,请检查账号的名称,若为一些应用创建的账号,则会和应用相关,例如mysql、tcpdump账号等。 如果和应用无关,且类似管理员账户名称,例如Administrators,则ECS实例存在被入侵风险,请根据现场实际情况,选择下列对应的步骤进行修复。

系统中删除异常账号

请参考下列步骤,查看ECS实例中是否存在异常账号:

  • Linux实例

    1. 登录ECS实例,详情请参见通过密码或密钥认证登录Linux实例

    2. 执行vi /etc/passwd命令,查看是否存在异常账号。如果存在异常账号,则执行usermod -L [$User]命令,禁用该异常账户,或者执行userdel -r [$User]命令,删除该异常账户。

      说明

      [$User]为异常账号名。

  • Windows实例

    说明

    本小节在Windows2012系统中进行了验证。

    1. 删除账户名末尾有美元字符($)的账户,一般情况下,黑客创建的账户名末尾有字符($)。

      1. 登录ECS实例,详情请参见通过密码或密钥认证登录Linux实例

      2. 按左下角的Win键,选择控制面板,依次单击用户账户>用户账户>管理其他账户

      3. 找到账户名末尾有美元字符($)的账户名并删除即可。

    2. 黑客可能在您的ECS实例内创建隐藏账户,本地账户无法查看隐藏账户,您可以通过修改注册表,修改Administrator账户的权限,建议您在修改注册表前先备份数据,避免操作出错。

      1. 登录ECS实例,详情请参见通过密码或密钥认证登录Linux实例

      2. 找到运行程序,输入regedt32.exe

      3. 选择HKEY_LOCAL_MACHINE>SAM,默认情况下您看不到里面的内容。

      4. 单击SAM,右键并选择权限,选择Administrators允许列勾选权限为完全控制,然后单击确定,然后退出注册表。

      5. 选择开始>运行,输入regedit

      6. 选择HKEY_LOCAL_MACHINE>SAM>SAM>Domains>Account>Users>Names,显示当前ECS实例中的所有账户名。删除本地账户中不存在的账户,即可删除隐藏账户。

使用云安全中心修复

  1. 登录云安全中心控制台,选择威胁检测>安全告警处理,查看ECS实例是否存在被入侵的提示,有关告警信息请参见安全告警类型概述

  2. 可以考虑升级到付费版企业云安全中心,提供相关病毒云查杀功能,或者在机器上安装第三方安全软件来尝试做下全盘查杀。并删除新增的异常账号,后续做好安全加固。

    说明

    如果异常账号持续无法删除,且环境重建成本不高,可以备份数据,直接初始化系统盘,彻底恢复此问题。操作前务必做好备份,具体步骤请参见 重新初始化系统盘