Article / 文章中心

阿里云服务器ECS实例中存在异常用户账号

发布时间:2020-06-15 点击数:758

问题描述

在登录ECS实例时,发现存在异常的用户账号。

问题原因

账号可能为非正常创建,ECS实例存在被入侵的风险。

解决方案

阿里云提醒您:

如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。

如果您对实例(包括但不限于ECSRDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。

如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。

1.请先确认异常账号是否为他人创建,则为正常创建流程。如果为非正常创建,请检查账号的名称,若为一些应用创建的账号,则会和应用相关,比如mysqltcpdump账号等。 如果和应用无关,且类似管理员账户名称,例如administrator,则ECS实例存在被入侵风险。

2.登录云安全中心控制台,,选择威胁检测>安全告警处理,查看ECS实例是否存在被入侵的提示,请参见安全告警类型概述

3.可以考虑升级到付费版企业云安全中心,提供相关病毒云查杀功能,或者在机器上安装第三方安全软件来尝试做下全盘查杀。并删除新增的异常账号,后续做好安全加固。

▫Windows系统的ECS实例安全加固,请参见Windows操作系统安全加固

▫Linux系统的ECS实例安全加固,请参见Linux操作系统加固

如果异常账号持续无法删除,且环境重建成本不高,可以备份数据,直接初始化系统盘,来彻底恢复。操作前务必做好备份,请参见重新初始化系统盘

适用于

云服务器ECS

阿里云代理商  阿里云分销商