为什么要卸载ECS 监控

默认购买的阿里云VPS都自带一个aliyundun和一个aliyun-service,名字叫阿里云盾(安骑士)
实质上是用来监控VPS是否安全,自动扫描进程、查杀病毒用的,会识别SS(R)进程
云盾IP来自阿里云的漏洞扫描机,它会定期探测VPS是否存在已知漏洞
(比如你装了一个WORDPRESS,过一阵子它会提醒你有漏洞,得花钱一键修复酱紫)
发现阿里云 ECS 自带的系统镜像里竟然装了带有 root 权限的若干监控软件。一个字,删删删。后来在服务器记录里又发现一堆 Alibaba.Security.Heimdall 的访问记录,赶快加进了黑名单。

卸载云盾(安骑士)

直接上:

curl -sSL http://update.aegis.aliyun.com/download/quartz_uninstall.sh | sudo bash
sudo rm -rf /usr/local/aegis
sudo rm /usr/sbin/aliyun-service
sudo rm /lib/systemd/system/aliyun.service

删除残留

pkill aliyun-service
rm -fr /etc/init.d/agentwatch /usr/sbin/aliyun-service
rm -rf /usr/local/aegis*

腾讯云解决方案

据说腾讯云也有类似问题:转:

#!/bin/bash
#fuck tx process
rm -rf /usr/local/sa
rm -rf /usr/local/agenttools
rm -rf /usr/local/qcloud
process=(sap100 secu-tcs-agent sgagent64 barad_agent agent agentPlugInD pvdriver )
for i in ${process[@]}
do
  for A in $(ps aux | grep $i | grep -v grep | awk '{print $2}')
  do
    kill -9 $A
  done
done
chkconfig --level 35 postfix off
service postfix stop
echo ''>/var/spool/cron/root
echo '#!/bin/bash' >/etc/rc.local
bash
Links:

https://www.v2ex.com/t/217931
https://help.aliyun.com/knowledge_detail/40477.html

屏蔽云盾 IP

而后检查服务器记录时发现一堆 Alibaba.Security.Heimdall 的访问记录。网上查询发现是云盾。

根据官方介绍:

云盾会通过公网模拟黑客入侵攻击,进行安全扫描。所以服务器有安全防护时,需要对云盾扫描ip进行放行。

赶快屏蔽!

Update 09/16/2017:使用阿里云安全组

Update 09/20/2017:日志发现云盾 ip 140.205.201.31 没有在官方列表里。遂更新安全组直接屏蔽 /24 。

140.205.201.0/24,140.205.225.0/24,106.11.222.0/23,106.11.224.0/24,106.11.228.0/22

图片

使用阿里云安全组屏蔽云盾 ip 段

方法一:使用 UFW / iptables

此处使用 UFW,iptables 用户请参考下方网友评论。注意:如果已有接受 80 端口之类的规则,新增的拒绝 IP 规则在其后将不会生效。所以要在 /etc/ufw/before.rules 设置。

sudo nano 编辑此文件并找到 # End required lines,在其后添加:

# Block Ali Yun Dun  https://help.aliyun.com/knowledge_detail/37436.html
-A ufw-before-input -s 140.205.201.0/24 -j DROP
-A ufw-before-input -s 140.205.225.0/24 -j DROP
-A ufw-before-input -s 106.11.222.0/23 -j DROP
-A ufw-before-input -s 106.11.224.0/24 -j DROP
-A ufw-before-input -s 106.11.228.0/22 -j DROP

保存后运行 sudo ufw reload。完毕!

方法二:

iptables -I INPUT -s 140.205.201.0/28 -j DROP
iptables -I INPUT -s 140.205.201.16/29 -j DROP
iptables -I INPUT -s 140.205.201.32/28 -j DROP
iptables -I INPUT -s 140.205.225.192/29 -j DROP
iptables -I INPUT -s 140.205.225.200/30 -j DROP
iptables -I INPUT -s 140.205.225.184/29 -j DROP
iptables -I INPUT -s 140.205.225.183/32 -j DROP
iptables -I INPUT -s 140.205.225.206/32 -j DROP
iptables -I INPUT -s 140.205.225.205/32 -j DROP
iptables -I INPUT -s 140.205.225.195/32 -j DROP
iptables -I INPUT -s 140.205.225.204/32 -j DROP

删除阿里云登录界面欢迎信息

每次登录看到

Welcome to Ubuntu 17.04 (GNU/Linux 4.10.0-19-generic x86_64)
 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage
Welcome to Alibaba Cloud Elastic Compute Service !
Last login from

就莫名的不爽,于是查了一下 sudo nano /etc/motd 就可以编辑/删除倒数第二行的 Welcome to Alibaba Cloud Elastic Compute Service ! 欢迎信息了。

本文内容来自:@whe.me 博客!

最后修改:2019 年 02 月 24 日 06 : 59 PM
如果觉得我的文章对你有用,请随意赞赏