ECS实例中存在异常账号 -

问题描述

在登录ECS实例时，发现ECS实例内存在异常账号。

问题原因

账号可能为非正常创建，ECS实例存在被入侵的风险。

解决方案

请先确认异常账号是否为他人创建，则为正常创建流程。如果为非正常创建，请检查账号的名称，若为一些应用创建的账号，则会和应用相关，例如mysql、tcpdump账号等。如果和应用无关，且类似管理员账户名称，例如Administrators，则ECS实例存在被入侵风险，请根据现场实际情况，选择下列对应的步骤进行修复。

系统中删除异常账号

请参考下列步骤，查看ECS实例中是否存在异常账号：

Linux实例
1. 登录ECS实例，详情请参见通过密码或密钥认证登录Linux实例。
2. 执行vi /etc/passwd命令，查看是否存在异常账号。如果存在异常账号，则执行usermod -L [$User]命令，禁用该异常账户，或者执行userdel -r [$User]命令，删除该异常账户。
  说明
  [$User]为异常账号名。
Windows实例
说明
本小节在Windows2012系统中进行了验证。
1. 删除账户名末尾有美元字符（$）的账户，一般情况下，黑客创建的账户名末尾有字符（$）。
  1. 登录ECS实例，详情请参见通过密码或密钥认证登录Linux实例。
  2. 按左下角的Win键，选择控制面板，依次单击用户账户>用户账户>管理其他账户。
  3. 找到账户名末尾有美元字符（$）的账户名并删除即可。
2. 黑客可能在您的ECS实例内创建隐藏账户，本地账户无法查看隐藏账户，您可以通过修改注册表，修改Administrator账户的权限，建议您在修改注册表前先备份数据，避免操作出错。
  1. 登录ECS实例，详情请参见通过密码或密钥认证登录Linux实例。
  2. 找到运行程序，输入regedt32.exe。
  3. 选择HKEY_LOCAL_MACHINE>SAM，默认情况下您看不到里面的内容。
  4. 单击SAM，右键并选择权限，选择Administrators，允许列勾选权限为完全控制，然后单击确定，然后退出注册表。
  5. 选择开始>运行，输入regedit。
  6. 选择HKEY_LOCAL_MACHINE>SAM>SAM>Domains>Account>Users>Names，显示当前ECS实例中的所有账户名。删除本地账户中不存在的账户，即可删除隐藏账户。

使用云安全中心修复

登录云安全中心控制台，选择威胁检测>安全告警处理，查看ECS实例是否存在被入侵的提示，有关告警信息请参见安全告警类型概述。
可以考虑升级到付费版企业云安全中心，提供相关病毒云查杀功能，或者在机器上安装第三方安全软件来尝试做下全盘查杀。并删除新增的异常账号，后续做好安全加固。
说明
如果异常账号持续无法删除，且环境重建成本不高，可以备份数据，直接初始化系统盘，彻底恢复此问题。操作前务必做好备份，具体步骤请参见重新初始化系统盘。