すべてのプロダクト
Search

このプロダクト

    :WAF保護が有効になっているECSインスタンスへの侵入を処理するにはどうすればよいですか。

    ドキュメントセンター

    :WAF保護が有効になっているECSインスタンスへの侵入を処理するにはどうすればよいですか。

    最終更新日:Feb 20, 2025

    このトピックでは、Web Application Firewall (WAF) 保護が有効になっているECS (Elastic Compute Service) インスタンスへの侵入を処理する方法について説明します。 次の表は、侵入の考えられる原因と解決策を示しています。

    いいえ

    考えられる原因

    解決策

    1

    WAF保護が有効になる前に、ECSインスタンスに侵入が発生します。

    ECSインスタンスをクリーンアップします。

    2

    WAF保護が有効になった後も、関連するドメインネームシステム (DNS) レコードは更新されず、アクセストラフィックはECSインスタンスにルーティングされますが、実際には保護されていません。

    DNSレコードを更新して、アクセストラフィックはWAFを通過します。 詳細については、「DNSレコードの変更」をご参照ください。

    3

    WAF保護が有効になる前に、IP ECSインスタンスのアドレスが公開され、セキュリティグループが設定されていない インスタンスの その結果、インスタンスは直接攻撃されます。

    攻撃者がWAFをバイパスしないようにセキュリティグループを設定します。 詳細については、「オリジンサーバーの保護の設定」をご参照ください。

    4

    ECSインスタンスは複数のWebサイトをホストしますが、一部のWebサイトのみがWAFによって保護されます。 その結果、サイドインジェクションが発生します。

    ECS インスタンス上のすべての HTTP サービスが WAF によって保護されていることを確認します。

    5

    ECSインスタンスは、SSHパスワードに対するブルートフォース攻撃などの非web攻撃の後に侵入を受けます。

    ECSインスタンスと関連データベースが強力なパスワードを使用していることを確認します。

    重要

    ECSインスタンスからトロイの木馬とウイルスを削除する前に、スナップショットを作成してデータをバックアップすることを推奨します。 これにより、誤操作によるデータ損失を防ぐことができます。 詳細については「スナップショットの作成」をご参照ください。

    トロイの木馬とウイルスを検出して削除する

    1. netstatを使用してネットワーク接続を確認し、送信動作が疑わしいかどうかを分析します。 はいの場合は、サーバーを停止します。

    2. ウイルス対策ソフトウェアを使用してウイルスを検出および削除します。

    トロイの木馬を削除するには、次のLinuxコマンドがよく使用されます。 

    chattr -i /usr/bin/.sshd 
rm -f /usr/bin/.sshd 
chattr -i /usr/bin/.swhd 
rm -f /usr/bin/.swhd 
rm -f -r /usr/bin/bsd-port 
cp /usr/bin/dpkgd/ps /bin/ps 
cp /usr/bin/dpkgd/netstat /bin/netstat 
cp /usr/bin/dpkgd/lsof /usr/sbin/lsof 
cp /usr/bin/dpkgd/ss /usr/sbin/ss
rm -r -f /root/.ssh 
rm -r -f /usr/bin/bsd-port
find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9

    脆弱性の検出と修正

    1. 疑わしいサーバーアカウントが存在するかどうかを確認します。 はいの場合、サーバーを停止し、疑わしいアカウントを削除します。

    2. リモートサーバーのログオンが存在するかどうかを確認します。 有効な場合は、ログインパスワードを強力なパスワードに変更します。 強力なパスワードは10文字以上で、大文字と小文字、数字、特殊文字を含む必要があります。

    3. Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogicなどのサービスの管理者パスワードを確認して、強力なパスワードが使用されていることを確認します。 未使用のサービスの場合は、管理ポート8080を無効にします。

    4. StrutsやElasticsearchなどのwebアプリケーションに脆弱性が存在するかどうかを確認します。 WebサイトがWAFによって保護されていることを確認します。 Threat Detection Serviceを使用して、トロイの木馬やウイルスを検出して削除し、セキュリティパッチをインストールすることもできます。

    5. Jenkins管理者がパスワードなしでコマンドをリモートで実行できるようにするために悪用される脆弱性が存在するかどうかを確認します。 パスワードを設定するか、管理ポート8080を無効にします。

    6. パスワードなしでファイルをリモートで書き込むために悪用されるRedis脆弱性が存在するかどうかを確認します。 /root/ ディレクトリにハッカーによって作成されたSSHキーファイルが含まれているかどうかを確認します。 はいの場合、ファイルを削除します。 次に、Redisの強力なパスワードを設定します。 パブリックネットワークアクセスが不要な場合は、bind 127.0.0.1を使用してローカルアクセスのみを許可します。

    7. MySQL、SQL Server、FTP、およびweb管理コンソールのパスワード設定を確認します。 強力なパスワードが使用されていることを確認します。

    Alibaba Cloud セキュリティサービスの有効化

    • ECSインスタンスでホストされているすべてのWebサイトでWAF保護が有効になっていることを確認します。

    • HTTP サービスを提供するために

      リスクと脆弱性をスキャンするためのAlibaba Cloud Securityの脅威検出サービス、トロイの木馬を検出して削除し、脆弱性を修正します。

    クラウドディスクの再初期化

    ECSインスタンスのウイルスやトロイの木馬を削除し、脆弱性を修正し、Alibaba Cloud Securityサービスを有効にした後も問題が解決しない場合は、システムディスクおよびデータディスクとして使用されるクラウドディスクを初期状態に再初期化することを推奨します。

    詳細については、「クラウドディスクの再初期化」をご参照ください。

    重要

    クラウドディスクを再初期化する前に、システムディスクとデータディスクの全データをコンピュータにダウンロードし、バックアップを作成します。 再初期化後、バックアップデータからウイルスを削除し、データをアップロードします。

    再初期化後、上記の操作を再度実行します。 トロイの木馬とウイルスを検出して削除し、脆弱性を検出して修正し、Alibaba Cloud Securityサービスを有効にします。