1、事情起因
今天没事正在家里玩游戏,突然手机收到一条短信,提示 “ECS在非常用地登录” ,我明明没有登录,看来是被黑了,密码泄露了。
马上放下手里的锅铲,登录服务器检查。
2、处理流程
马上登录服务器直接重启,先把对方的SSH会话踢下去,马上修改服务器密码,远程端口,
然后登录阿里云在云安全中心 处理告警,目前已经通过安全组拦截这个异常ip 111.xxx.xx.250
三、后续排查
1、详细检查服务器是否有异常损失,通过服务器历史命令查看对方只执行了这几个命令,还好发现得早;
2、通过ssh 日志可以看到登录成功的ip,就是异常的 ip 111.xxx.xx.250 .
3、好在发现得早,没有造成实质上的损失,最后 安全无小事,建议大家按照下面的提示 检查下自己的服务器。
①、定期修改SSH远程密码,SSH远程端口不要使用22,
②、安全组、防火墙指定ip登录远程或登录管理面板
③、定期做好快照备份,数据备份
④、启用阿里云 云安全中心