欢迎光临
我们一直在努力

阿里云 ECS 监控卸载,屏蔽云盾 IP

发现阿里云 ECS 自带的系统镜像里竟然装了带有 root 权限的若干监控软件。一个字,删删删。后来在服务器记录里又发现一堆 Alibaba.Security.Heimdall 的访问记录,赶快加进了黑名单。

卸载云盾(安骑士)

直接上:

代码备份quartz_uninstall.sh
  • bash
  • #!/bin/bash
  • #check linux Gentoo os
  • var=`lsb_release -a | grep Gentoo`
  • if [ -z “${var}” ]; then
  • var=`cat /etc/issue | grep Gentoo`
  • fi
  • if [ -d “/etc/runlevels/default” -a -n “${var}” ]; then
  • LINUX_RELEASE=”GENTOO”
  • else
  • LINUX_RELEASE=”OTHER”
  • fi
  • stop_aegis(){
  • killall -9 aegis_cli >/dev/null 2>&1
  • killall -9 aegis_update >/dev/null 2>&1
  • killall -9 aegis_cli >/dev/null 2>&1
  • printf “%-40s %40s\n” “Stopping aegis” “[ OK ]”
  • }
  • stop_quartz(){
  • killall -9 aegis_quartz >/dev/null 2>&1
  • printf “%-40s %40s\n” “Stopping quartz” “[ OK ]”
  • }
  • remove_aegis(){
  • if [ -d /usr/local/aegis ];then
  • rm -rf /usr/local/aegis/aegis_client
  • rm -rf /usr/local/aegis/aegis_update
  • fi
  • }
  • remove_quartz(){
  • if [ -d /usr/local/aegis ];then
  • rm -rf /usr/local/aegis/aegis_quartz
  • fi
  • }
  • uninstall_service() {
  • if [ -f “/etc/init.d/aegis” ]; then
  • /etc/init.d/aegis stop >/dev/null 2>&1
  • rm -f /etc/init.d/aegis
  • fi
  • if [ $LINUX_RELEASE = “GENTOO” ]; then
  • rc-update del aegis default 2>/dev/null
  • if [ -f “/etc/runlevels/default/aegis” ]; then
  • rm -f “/etc/runlevels/default/aegis” >/dev/null 2>&1;
  • fi
  • elif [ -f /etc/init.d/aegis ]; then
  • /etc/init.d/aegis uninstall
  • for ((var=2; var<=5; var++)) do
  • if [ -d “/etc/rc${var}.d/” ];then
  • rm -f “/etc/rc${var}.d/S80aegis”
  • elif [ -d “/etc/rc.d/rc${var}.d” ];then
  • rm -f “/etc/rc.d/rc${var}.d/S80aegis”
  • fi
  • done
  • fi
  • }
  • stop_aegis
  • stop_quartz
  • uninstall_service
  • remove_aegis
  • printf “%-40s %40s\n” “Uninstalling aegis” “[ OK ]”
  • remove_quartz

或者用网友简单粗暴版本:

  • #!/bin/bash
  • rm -rf /usr/local/aegis
  • for A in $(ps aux | grep Ali | grep -v grep | awk ‘{print $2}’)
  • do
  • kill -9 $A;
  • done
bash

腾讯云解决方案

据说腾讯云也有类似问题:转:

  • #!/bin/bash
  • #fuck tx process
  • rm -rf /usr/local/sa
  • rm -rf /usr/local/agenttools
  • rm -rf /usr/local/qcloud
  • process=(sap100 secu-tcs-agent sgagent64 barad_agent agent agentPlugInD pvdriver )
  • for i in ${process[@]}
  • do
  • for A in $(ps aux | grep $i | grep -v grep | awk ‘{print $2}’)
  • do
  • kill -9 $A
  • done
  • done
  • chkconfig –level 35 postfix off
  • service postfix stop
  • echo >/var/spool/cron/root
  • echo ‘#!/bin/bash’ >/etc/rc.local
bash

屏蔽云盾 IP

而后检查服务器记录时发现一堆 Alibaba.Security.Heimdall 的访问记录。网上查询发现是云盾。

根据官方介绍

云盾会通过公网模拟黑客入侵攻击,进行安全扫描。所以服务器有安全防护时,需要对云盾扫描ip进行放行。

赶快屏蔽!

Update 09/16/2017:使用阿里云安全组

阿里云安全组可以直接设置屏蔽云盾 ip 地址段(查看),如图即可。

Update 09/20/2017:系统日志发现云盾 ip 140.205.201.31 没有在官方列表里。遂更新安全组直接屏蔽 /24 。

140.205.201.0/24,140.205.225.0/24

使用阿里云安全组屏蔽云盾 ip 段

原方法:使用 UFW / iptables

此处使用 UFWiptables 用户请参考下方网友评论。注意:如果已有接受 80 端口之类的规则,新增的拒绝 IP 规则在其后将不会生效。所以要在 /etc/ufw/before.rules 设置。

sudo nano 编辑此文件并找到 # End required lines,在其后添加:

  • # Block Ali Yun Dun https://help.aliyun.com/knowledge_detail/37436.html
  • -A ufw-before-input -s 140.205.201.0/28 -j DROP
  • -A ufw-before-input -s 140.205.201.16/29 -j DROP
  • -A ufw-before-input -s 140.205.201.32/28 -j DROP
  • -A ufw-before-input -s 140.205.225.192/29 -j DROP
  • -A ufw-before-input -s 140.205.225.200/30 -j DROP
  • -A ufw-before-input -s 140.205.225.184/29 -j DROP
  • -A ufw-before-input -s 140.205.225.183/32 -j DROP
  • -A ufw-before-input -s 140.205.225.206/32 -j DROP
  • -A ufw-before-input -s 140.205.225.205/32 -j DROP
  • -A ufw-before-input -s 140.205.225.195/32 -j DROP
  • -A ufw-before-input -s 140.205.225.204/32 -j DROP
bash

保存后运行 sudo ufw reload。完毕!

 删除阿里云登录界面欢迎信息

每次登录看到

就莫名的不爽,于是查了一下 sudo nano /etc/motd 就可以编辑/删除倒数第二行的 Welcome to Alibaba Cloud Elastic Compute Service ! 欢迎信息了。

 

赞(0) 打赏
未经允许不得转载:顶好爱迪 » 阿里云 ECS 监控卸载,屏蔽云盾 IP
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

顶好爱迪 更专业 更方便

联系我们联系我们

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏