卸载起因是昨天上线的发卡平台今天被阿里云发邮件警告了
您好,您的IP指向的内容涉嫌欺诈,请您在24小时内排查整改并【点击本链接】提交说明材料进行反馈。如逾期未处理,根据服务协议,阿里云将对服务进行关停或对账号升级处罚。
因为以前有做梯子的经验,我觉得应该是阿里云盾导致的。
阿里云盾(AliYunDun),又名安骑士,是阿里云用来监控云服务器是否安全的产品。能够自动化实时入侵威胁检测、病毒查杀、漏洞智能修复、基线一键核查等功能,同时还可以检测你的服务器是否有违规进程的。
云盾IP是来自阿里云漏洞扫描机,主要是检测你的服务器是否存在已知漏洞。阿里云盾有好处,也有坏处,好处是一定程度保证你的服务器安全,坏处是一直监控你的云服务器,你完全没有任何隐私而言,不但对病毒起监控作用,还对你存放的内容进行监控。
网上把阿里云盾描述成了万恶的后门监控,然而官方是提供完善的卸载和关闭方案的,完全可以通过面板和控制台进行操作,网上的卸载教程使用的也是阿里云官方的教程,所以使用官方的卸载方案即可。
官方参考
如何卸载云安全中心Agent_云安全中心(态势感知)-阿里云帮助中心
请根据服务器的操作系统类型,选择卸载Agent的方式。
#阿里云ECS服务器,请在服务器上以root权限执行以下命令:
wget "<http://update2.aegis.aliyun.com/download/uninstall.sh>" && chmod +x uninstall.sh && ./uninstall.sh
#非阿里云服务器,请在服务器上以root权限执行以下命令:
wget "<http://update.aegis.aliyun.com/download/uninstall.sh>" && chmod +x uninstall.sh && ./uninstall.sh
#继续执行
wget <http://update.aegis.aliyun.com/download/quartz_uninstall.sh> && chmod +x quartz_uninstall.sh && ./quartz_uninstall.sh
注:如果出现了无权删除相关的报错
rm: cannot remove '/usr/local/aegis/xxx': Operation not permitted
可以尝试:
./uninstall.sh
和./quartz_uninstall.sh
killall -9 aliyun-service
killall -9 CmsGoAgent.linux-amd64
killall -9 AliYunDun
killall -9 AliYunDunUpdate
killall -9 AliSecGuard
killall -9 AliSecureCheck
killall -9 assist_daemon
#以下路径不一定都存在
rm -f /etc/rc2.d/S80aegis /etc/rc3.d/S80aegis /etc/rc4.d/S80aegis /etc/rc5.d/S80aegis /etc/rc.d/rc2.d/S80aegis /etc/rc.d/rc3.d/S80aegis /etc/rc.d/rc4.d/S80aegis /etc/rc.d/rc5.d/S80aegis /etc/init.d/aegis
rm -rf /etc/init.d/agentwatch /usr/sbin/aliyun-service /usr/sbin/aliyun_installer /usr/sbin/aliyun-service.backup /usr/local/aegis /usr/local/cloudmonitor /usr/local/share/aliyun-assist /usr/local/share/assist-daemon /usr/sbin/aliyun-service
这一步我觉得没有必要,但是摘抄过来记录一下
iptables -I INPUT -s 140.205.201.0/28 -j DROP
iptables -I INPUT -s 140.205.201.16/29 -j DROP
iptables -I INPUT -s 140.205.201.32/28 -j DROP
iptables -I INPUT -s 140.205.225.192/29 -j DROP
iptables -I INPUT -s 140.205.225.200/30 -j DROP
iptables -I INPUT -s 140.205.225.184/29 -j DROP
iptables -I INPUT -s 140.205.225.183/32 -j DROP
iptables -I INPUT -s 140.205.225.206/32 -j DROP
iptables -I INPUT -s 140.205.225.205/32 -j DROP
iptables -I INPUT -s 140.205.225.195/32 -j DROP
iptables -I INPUT -s 140.205.225.204/32 -j DROP
最后检查下自己服务器上的阿里云盾是否卸载干净了,删除残留后主机安全都逐渐显示为离线就是成功了。或者查看进程里有没有阿里云盾的相关进程了(AliYunDun、aliyun-service和AliYunDunUpdate),可以通过ps -aux | grep -E 'aliyun|AliYunDun'
来检查,如果没有相关进程则说明阿里云盾已经卸载干净了。