问题描述

在登录ECS实例时，发现存在异常的用户账号。

问题原因

账号可能为非正常创建，ECS实例存在被入侵的风险。

解决方案

阿里云提醒您：

▫如果您对实例或数据有修改、变更等风险操作，务必注意实例的容灾、容错能力，确保数据安全。

▫如果您对实例（包括但不限于ECS、RDS）等进行配置与数据修改，建议提前创建快照或开启RDS日志备份等功能。

▫如果您在阿里云平台授权或者提交过登录账号、密码等安全信息，建议您及时修改。

1.请先确认异常账号是否为他人创建，则为正常创建流程。如果为非正常创建，请检查账号的名称，若为一些应用创建的账号，则会和应用相关，比如mysql、tcpdump账号等。 如果和应用无关，且类似管理员账户名称，例如administrator，则ECS实例存在被入侵风险。

2.登录云安全中心控制台，，选择威胁检测>安全告警处理，查看ECS实例是否存在被入侵的提示，请参见安全告警类型概述。

3.可以考虑升级到付费版企业云安全中心，提供相关病毒云查杀功能，或者在机器上安装第三方安全软件来尝试做下全盘查杀。并删除新增的异常账号，后续做好安全加固。

▫Windows系统的ECS实例安全加固，请参见Windows操作系统安全加固。

▫Linux系统的ECS实例安全加固，请参见Linux操作系统加固。

▫如果异常账号持续无法删除，且环境重建成本不高，可以备份数据，直接初始化系统盘，来彻底恢复。操作前务必做好备份，请参见重新初始化系统盘。

适用于

•云服务器ECS

阿里云代理商  阿里云分销商