ECS インスタンスは、WAF によって保護された後も侵入を受ける可能性があります。 以下の原因が考えられます。
| いいえ | 発生原因 | 解像度 |
| 1 | ECS インスタンスは WAF に接続される前に侵入されます。 この場合、最初に ECS インスタンスをクリーンアップする必要があります。 | 次のセクションで説明するように、サーバーのクリーンアップを実行します。 |
| 2 | WAF を設定後に DNS 解決が更新されない場合。 これにより、トラフィックは WAF を経由せずに直接 ECS に流れます。 | Web サイトが WAF の保護下にあるように DNS 解決が更新されていることを確認します。 詳細については、「Alibaba Cloud WAFの実装」をご参照ください。 |
| 3 | WAF の使用開始前に、ECS インスタンスの IP アドレスが公開されているが、セキュリティグループが設定されていません。 その結果、ハッカーは IP アドレスを使って ECS インスタンスに直接攻撃します。 | セキュリティグループを設定して WAF を迂回する攻撃を防ぎます。 詳細は、「配信元サーバーの保護」をご参照ください。 |
| 4 | WAF によって保護されていない他のサイトが ECS インスタンスに存在します。 その結果、ECS インスタンスはこれらのサイトを標的とする攻撃の影響を受けます。 | ECS インスタンス上のすべての HTTP サービスが WAF によって保護されていることを確認します。 |
| 5 | ECSインスタンスでは、sshパスワードのブルートクラックなど、Web攻撃以外の侵入が発生します。 | ECS インスタンスとデータベースが強力なパスワードを採用していることを確認します。 |
重要 トロイの木馬やウイルスを除去する前に、まず、「スナップショットを作成」してデータのバックアップをとることで、操作ミスによるデータの損失を回避します。
トロイの木馬およびウイルスの除去
netstatを使用してネットワーク接続を確認し、疑わしいリクエストが存在するかどうかを分析します。 該当する場合、ECS インスタンスを停止します。- ウイルス対策ソフトウェアを使用してウイルスをスキャンし、きれいにします。
次のコマンドを実行して Linux のトロイの木馬を除去します。
chattr -i /usr/bin/.sshd
rm -f /usr/bin/.sshd
chattr -i /usr/bin/.swhd
rm -f /usr/bin/.swhd
rm -f -r /usr/bin/bsd-port
cp /usr/bin/dpkgd/ps /bin/ps
cp /usr/bin/dpkgd/netstat /bin/netstat
cp /usr/bin/dpkgd/lsof /usr/sbin/lsof
cp /usr/bin/dpkgd/ss /usr/sbin/ss
rm -r -f /root/.ssh
rm -r -f /usr/bin/bsd-port
find /proc/ -name exe | xargs ls -l | grep -vタスク | grep削除 | awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9 ECS インスタンスの脆弱性の確認および修正
- サーバーアカウントが正常であることを確認します。 サーバーアカウントが異常な場合は、ECS を停止して異常アカウントを削除します。
- ECS へのリモートログインがあるか確認します。 ある場合は、10 文字を超える大文字と小文字のアルファベット、数字、および特殊文字で構成される強力なログインパスワードを設定します。
- Jenkins、Tomcat、PhpMyadmin、WDCP、および Weblogic のバックエンドのパスワードが強力なものであることを確認します。 サービスを使用しない場合は、管理ポート 8080 を無効にします。
- Struts や ElasticSearch などの Web アプリケーションの脆弱性を確認します。 Web サイトが WAF によって保護されていることを確認します。 トロイの木馬とウイルスの除去およびパッチのインストールには、Server Guard の使用を推奨します。
- 次の脆弱性が存在するかどうかを確認します。Jenkins 管理者がパスワードを使用せずにリモートでコマンドを実行している。 該当する場合、パスワードを設定するか、8080 ポートを管理するページを閉じます。
- 次の脆弱性が存在するかどうかを確認します。パスワードを使用せずにファイルが Redis に書き込まれている可能性がある。 ハッカーによって作成されたSSHログオンキーファイルが
/root/の下に存在するかどうかを確認します。 ファイルが存在する場合は、ファイルを削除します。 Redis を変更し、ユーザーにパスワードを使って Redis にアクセスさせ、より強力なパスワードを設定させるようにします。 パブリックネットワークへのアクセスが不要な場合は、bind 127.0.0.1を使用してローカルアクセスのみを許可します。 - パスワードが設定されている MySQL、SQLServer、FTP、および Web 管理バックエンドを確認し、必ず強力なパスワードを設定してください。
Alibaba Cloud セキュリティサービスの有効化
- ECS インスタンス上のすべての Web サイトで WAF が有効になっていることを確認します。
- Alibaba Cloudセキュリティの使用 ホストのスキャン、トロイの木馬のスキャンとクリア、および脆弱性の修正のための脅威検出サービス。
クラウドディスクの再初期化
上記の方法で問題を解決できない場合は、クラウドディスクを再初期化して、システムディスクまたはデータディスクを作成時の状態に復元することをお勧めします。
詳細については、「クラウドディスクの再初期化」をご参照ください。
重要 クラウドディスクを再初期化する前に、システムディスクとデータディスクのデータをダウンロードしてローカルストレージにバックアップします。 初期化後、データのウイルス対策を実行し、クラウドストレージにアップロードします。
クラウドディスクが再初期化されたら、前述のクリーンアップを実行し、Alibaba cloud Securityを有効にします。