美文网首页
阿里云yum工具和出站80端口不可用的问题排查一例

阿里云yum工具和出站80端口不可用的问题排查一例

作者: xun66 | 来源:发表于2020-09-03 20:10 被阅读0次

    问题描述

    收到阿里云短信/站内信提醒,线上某资源被病毒入侵。查看告警详情及登录服务器后确认是感染了DDG挖矿病毒,入侵点是redis。由于病毒行为复杂,难以彻底清除对系统的修改,决定重置该实例然后重新部署服务。

    实例重置后,发现yum无法使用。提示yum连接超时,连接的目标主机是阿里云的yum源(233.*的IP地址,为外网地址),协议为HTTP。

    进一步测试发现DNS解析正常,curl访问内网的80端口正常,访问外网所有80端口均超时,访问外网的8080/443等部分非80端口正常。

    经检查机器的iptables没有启用,阿里云安全组出站方向无限制。随后提交工单联系阿里云。

    问题解决

    售后客服在工单中答复,之前机器被检测到有大量web攻击行为,阿里云已对该实例进行了出站特定端口封禁处理。在工单内表示问题已经排除后,客服提前人工解除封禁。

    总结

    这类封禁处理不会体现在安全组,可以在云盾安全管控管理控制台来查看封禁记录。这个控制台也可以在阿里云控制台右上角账户图标--安全管控--处罚列表处进入。另外,处罚通知也会以站内信的方式发送(是否有短信暂不明确),所以及时查收站内信非常必要。

    作为RAM用户身份登录难以保持登录状态,同时主账号对通知方式的设置不合理,加上对阿里云检测和通知机制不够熟悉,导致这次问题排查持续时间较久。

    端口封禁站内信

    关键词

    阿里云 yum 出站 端口 封禁 入侵

    相关文章

      网友评论

          本文标题:阿里云yum工具和出站80端口不可用的问题排查一例

          本文链接:https://www.haomeiwen.com/subject/uhbosktx.html