如何处理ECS服务器因为对外攻击导致被锁定的问题

　　1、服务器为什么会被锁定?

　　系统检测到您的服务器对外进行DDOS网络攻击，会影响云平台网络稳定，所以服务器被安全系统进行锁定。

　　现象：您的服务器在ECS控制台的状态为锁定状态，与此同时您会收到阿里云的官方短信或者邮件通知，内容类似如下信息：

　　尊敬的用户，您的云服务器(IP)因多次出现对外恶意攻击未处理，已经被关停。详细操作方案请您查看云账号邮箱中对应邮件【阿里云】。

　　2、如何自行排查解决

　　提示，由于病毒已经入侵，安全排查的操作均会有一定风险，强烈建议您在处理前做好数据备份或者是通过手工创建快照方法对磁盘进行备份。

　　A、对病毒木马的排查。

　　1.1、使用netstat查看网络连接，分析是否有可疑发送行为，如果有则立即停止。 (linux常见木马，清理命令chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9;)

　　1.2、使用杀毒软件对病毒进行查杀：可以使用官方的安骑士对病毒进行全盘查杀，

　　B、对服务器漏洞排查并修复

　　2.1、查看服务器账号是否有异常出现，

　　Linux系统

　　(1)使用last命令查看下服务器近期登录的账户记录，或者查看/var/log/secure 日志，如果有除root外的用户登录过，检查下 /etc/passwd 这个文件，看是否有异常账户，有的话使用命令“usermod -L 用户名”禁用下用户或者使用命令“userdel -r 用户名”删除 下用户

　　(2)检查下服务器内部账户(如管理员账户，mysql账户，sql server账户，ftp账户)是否密码设置的较为简单，过于简单的密码很容易被黑客破解，请将密码设置的较为复杂些异常端口：

　　Windows系统

　　一般黑客创建的账户账户名后会有$这个字符，如有则停止删除掉。黑客也可能在您服务器内创建隐藏用户，隐藏账户在本地用户内是查看不到的，您可以在服务器内点击开始-运行-输入regedt32.exe，依次选择HKEY_LOCAL_MACHINE/SAM/SAM，默认是看不到里面的内容，这个时候点到SAM，鼠标右键选择权限，选择administrator，将权限勾选为完全控制，确定。然后点开始-运行，输入regedit，选择HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account，打开显示的就是你的机子的所有用户名，如出现本地账户中没有的账户，即为隐藏账户，可以删除下，这样就可以删除隐藏用户了(建议您在操作修改注册表前先备份下，以免操作出错)

　　2.2、查看服务器是否有异地登录情况，如有则把密码修改为强密码(字母+数字+特殊符号)大小写，10位及以上。

　　2.3、查看WEB应用是否有漏洞，如struts, ElasticSearch等，如果有则请立即升级。登录云盾管理控制台-安全体检 也可以自动检测web漏洞。

　　2.4、查看MySQL、SQLServer、FTP、WEB管理后台等其它有设置密码的地方，提高密码强度(字每+数字+特殊符号)大小写，10位及以上。

　　2.5、如果有安装第三方软件，请按官网指引进行修复。

　　C、开启云盾服务，并开启所有云盾安全防护功能对您的主机进行安全防护，免于再次遭到恶意攻击。

　　实施安全防御方案

　　请您尽快开启云盾服务，开启步骤详见：http://help.aliyun.com/view/11108300_13730770.html

　　3、如果问题仍未解决

　　经过以上处理还不能解决问题，强烈建议您将系统盘和数据盘的数据完全下载备份到本地保存后，重置全盘(登陆www.aliyun.com, 进入我的阿里云-》管理控制台-》云服务器ECS控制台-》点击进行您需要进行初始化的实例，备份完服务器数据后关闭实例，点击“重置磁盘”，按您的实际情况选择系统盘和数据盘重置即可)后，重新部署程序应用并对数据进行杀毒后上传，并重新进行前述的第C步处理。

　　4、如果按以上操作问题仍未解决，请您提交工单，由阿里云的售后工程师协助您进行处理。