このトピックでは、ウイルスまたはマルウェアに感染しているECSインスタンスを修復するための即時およびフォローアップ対策について説明します。

内容:

即時対策

  1. システム管理者アカウントのパスワードを変更します。 パスワードの長さは8文字以上で、大文字、小文字、数字、特殊文字の組み合わせを使用することをお勧めします。
  2. リモートログイン用のポートを変更します。 ファイアウォールを有効にして、ログオンが許可されているIPアドレスを制限します。 具体的には、ファイアウォールの特定のサービスポートのみを有効にします。 FTPとデータベースはすべてのユーザーに公開されていません。 そのため、アクセスできるIPアドレスを制限することを推奨します。
  3. 不正な接続があるポートがあるかどうかを確認します。 はいの場合、それらのポートを閉じます。
    • Windows: netstat /anoを実行して、CMDウィンドウでポートのステータスを確認します。
    • Linux: netstat -anpを実行してポートのステータスを確認します。
  4. 実行中の異常なプロセスがないか確認してください。 該当する場合は、それらのプロセスを閉じて、異常なプロセスで使用されているファイルを削除できるかどうかをサーバー管理者に尋ねます。
    • Windows: [開始] > [実行] をクリックします。 msinfo32と入力し、[ソフトウェア環境] > [タスクの実行] をクリックします。
    • Linux: ps -efまたはtopコマンドを入力します。
  5. ウイルス対策ソフトウェアをインストールして、サーバー全体をスキャンし、ウイルスを削除または隔離します。
    • システムから未知のアカウントを削除するには、WindowsシステムのSAMファイルをチェックして、非表示のアカウントを探す必要もあります。
    • Webサービスが存在する場合は、Web以外のディレクトリへのアクセスを禁止するなど、機密ファイルへのWebアカウントのアクセスを制限する必要があります。

フォローアップ対策

  1. セキュリティ・サーバーガードを有効にしてECSインスタンスを保護します。 具体的には、次の機能に集中する必要があります。
    • セキュリティ防止-脆弱性管理: 資産に対する潜在的なリスクを管理および最小化します。
    • 侵入検出-残忍な強制 /異常なサインイン: サーバーへのすべてのログオンを検出して記録し、異常なログオン動作に対するリアルタイムのアラートを提供します。 共通のログイン場所、ログイン時間、ログインIPアドレス、およびログインアカウントをカスタマイズできます。
    • 侵入検出-Webshell: サーバー上のバックドアプログラムをリアルタイムで検出し、ワンクリックで分離します。
    • 侵入検出-ホスト例外: 悪意のあるプロセスと異常な接続を検出し、リアルタイムでアラートを提供します。
  2. 次のようなAlibaba Cloud Securityのその他の機能を使用します。
    • Webアプリケーションファイアウォール: ハッカーがWebサイトアプリケーションの抜け穴を悪用してサーバーに侵入するのを防ぎます。 一方、Alibaba Cloudセキュリティチームは、セキュリティのダイナミクスを注意深く把握し、新たな脆弱性が発生したらすぐに保護対策を更新します。
    • 脅威検出サービス: ECS、RDS、SLBなどのAlibaba Cloudプロダクトのセキュリティ設定を検出します。 セキュリティ状況をより深く把握し、クラウド内のアセットのセキュリティイベントを一元管理できるように設計されています。
    • Security Manager: Alibaba Cloud Security Managerは、長年にわたるセキュリティのベストプラクティスに基づいてAlibaba Cloudセキュリティチームが提供する包括的なテクノロジーおよびコンサルテーションサービスです。 クラウドセキュリティ防衛システムを構築し、継続的に最適化し、サービスのセキュリティを確保することを目的としています。
  3. すべてのアカウントのパスワードを変更します。 パスワードの長さは8文字以上で、大文字、小文字、数字、特殊文字の組み合わせを使用することをお勧めします。 変更するパスワードは次のとおりです。
    • サーバーログインパスワード
    • データベース接続パスワード
    • Webサイトのデーモンパスワード
    • FTPパスワード
    • 他のサーバ管理ソフトウェアのパスワード
  4. システムを強化する:
    • Webサイトのデーモンを非表示にします。 Webサイトの正常な動作を確保しながら、Webサイトのデーモンディレクトリにスペースのない複数文字の文字列を使用してみてください。 例: /mamashuomingziyaochangyidianheikecaizhaobudao /。
    • 利用可能な場合、最新のパッチでシステムまたはアプリケーションを更新します。

問題が解決しない場合は、チケットを起票してAlibaba Cloudに連絡してください。