是公司的 cms 服务器(是基于我写了几个插件以及简单改了下主题的 drupal8 系统),但目前可以正常访问,然后阿里云邮件发我这个
尊敬的用户: 经检测您的云服务器(***)存在恶意发包行为,为避免影响您服务器的正常使用,请您务必重视并尽快处理,需要您尽快排查您的安全隐患。目前系统不会处罚您的机器,但请您务必重视。
请先查看是否服务被黑客利用进行攻击,对服务进行加固处理方法见以下链接: https://help.aliyun.com/knowledge_detail/13072193.html?spm=5176.789006066.2.17.koPuT1
被黑客控制有以下 2 种解决方案可供您选择用于解决问题:
方案一:您有技术人员进行解决
请参考以下方法自查:
1、未经授权不得使用扫描器,等其它黑客工具进行非法扫描,否则请提工单进行沟通说明并提供授权测试证明。
2、病毒木马排查。
2.1、使用 netstat 查看网络连接,分析是否有可疑发送行为,如有则停止。 (linux 常见木马,清理命令 chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9;)
2.2、使用杀毒软件进行病毒查杀。
3、服务器漏洞排查并修复
3.1、查看服务器账号是否有异常,如有则停止删除掉。
3.2、查看服务器是否有异地登录情况,如有则修改密码为强密码(字每+数字+特殊符号)大小写,10 位及以上。
3.3、查看 Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic 后台密码,提高密码强度(字每+数字+特殊符号)大小写,10 位及以上,不需要使用后台建议停止 8080 等管理端口。
3.4、查看 WEB 应用是否有漏洞,如 struts, ElasticSearch 等,如有则请升级。
3.5、查看 MySQL、SQLServer、FTP、WEB 管理后台等其它有设置密码的地方,提高密码强度(字每+数字+特殊符号)大小写,10 位及以上。
3.6、查看 Redis 无密码可远程写入文件漏洞,检查 /root/.ssh/下黑客创建的 SSH 登录密钥文件,删除掉,修改 Redis 为有密码访问并使用强密码,不需要公网访问最好 bind 127.0.0.1 本地访问。
3.7、如果有安装第三方软件,请按官网指引进行修复。
4、如果问题仍未解决
经过以上处理还不能解决问题,强烈建议您将系统盘和数据盘的数据完全下载备份到本地保存后,重置全盘(登陆 www.aliyun.com, 进入我的阿里云-》管理控制台-》云服务器 ECS 控制台-》点击进行您需要进行初始化的实例,备份完服务器数据后关闭实例,点击“重置磁盘”,按您的实际情况选择系统盘和数据盘重置即可)后,重新部署程序应用并对数据进行杀毒后上传,并重新进行前述的 3 步处理。
方案二:直接备份数据重置服务器并进行安全部署
请您直接参考链接进行处理 https://help.aliyun.com/knowledge_detail/7613565.html?spm=5176.789006066.2.9.HfuUsB
阿里云计算有限公司此为系统邮件请勿回复
我应该怎么解决?
照理来说我是通过主流的 php docker 镜像部署的,drupal8 也是个相对冷门但成熟的 cms 系统啊,不太可能被代码漏洞攻击
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.