最新情報とお知らせ

製品情報

パブリックイメージの更新情報

OSの公式サポート終了計画

製品に関するお知らせ

製品概要

CVM概要

製品の強み

基本概念

リージョンとゾーン

初心者ガイド

Service Regions and Service Providers

製品の課金

課金概要

課金モデル

課金項目

課金モデルの変更

購入インスタンス

仕様変更の料金説明

料金未払いに関する説明

クイックスタート

カスタム設定によるLinuxインスタンスの購入

カスタム設定によるWindowsインスタンスの購入

ユーザーガイド

操作ガイド一覧

ご利用制限一覧

インスタンス

スポットインスタンス

リザーブドインスタンス

イメージ

ストレージ

バックアップと復元

ネットワーク

セキュリティ

パスワード/キー

監視とアラート

運用管理

便利な機能

サーバー移行

オンライン移行

オフライン移行

移行に関するご相談

トラブルシューティング

CVMインスタンスにログインできない原因や対処法

Windowsインスタンスのログインに関する障害

Linuxインスタンスのログインに関する障害

その他のインスタンスログインに関する障害

インスタンス実行時の障害

Linuxインスタンスのメモリに関する障害

ネットワーク障害

実践チュートリアル

CVMの選定ガイド

環境構築

ウェブサイトの構築

アプリケーションの構築

可視化ページの構築

ローカルファイルをCVMへアップロード

ネットワークパフォーマンステスト

その他の実践チュートリアル

API リファレンス

History

Introduction

API Category

Making API Requests

Region APIs

Instance APIs

Cloud Hosting Cluster APIs

Image APIs

Instance Launch Template APIs

Placement Group APIs

Key APIs

Security Group APIs

Network APIs

Data Types

Error Codes

セキュリティとコンプライアンス

Cloud Access Management（CAM）

ネットワーク

よくあるご質問

リージョンとアベイラビリティゾーンに関するご質問

課金クラス

インスタンスに関するご質問

ストレージに関するご質問

イメージに関するご質問

サーバー移行について

ネットワークに関するご質問

セキュリティに関するご質問

OSに関するご質問

運用と監視に関するご質問

CAMに関するご質問

NTPサービスに関するご質問

適用シナリオに関するご質問

Agreements

CVM Service Level Agreements

Red Hat Enterprise Linux Image Service Agreement

Public IP Service Level Agreement

用語集

CVMがウイルスに感染した疑い

PDF

フォーカスモード

フォントサイズ

最終更新日: 2022-05-06 11:46:50

CVMは弱いパスワード、オープンソースコンポーネントの脆弱性などの問題が原因でハッカーに侵入される可能性があります。本文では、CVMがウイルスに侵入されているかどうかを判断する方法とその解決方法を紹介します。
問題の特定
﻿SSH方式を使用 または VNC方式を使用 してインスタンスにログイン後、以下の方法でCVMがウイルスに侵入されているかどうかを判断します。
rc.local に悪意のあるコマンドが追加されている
以下のコマンドを実行し、rc.localファイルを確認します。
cat /etc/rc.local 
例えば、出力情報がwget xx、/tmp/xx など、業務またはお知らせのイメージに追加していないコマンドであった場合、CVMは高い確率でウイルスに侵入されています。
crontab に悪意のあるタスクが追加されている
以下のコマンドを実行し、現在のスケジュール表を列挙します。
crontab -l
例えば、出力情報がwget xx、/tmp/xx など、業務またはお知らせのイメージに追加していないコマンドであった場合、CVMは高い確率でウイルスに侵入されています。
ld.so.preloadで動的ライブラリのハイジャックが増加しています
以下のコマンドを実行し、/etc/ld.so.preloadファイルを確認します。
cat /etc/ld.so.preload
出力情報が業務で追加していない動的ライブラリであった場合、CVMは高い確率でウイルスに侵入されています。
sysctl.conf にラージページメモリが設定されています
以下のコマンドを実行し、ラージページメモリの使用状況を確認します。
sysctl -a | grep "nr_hugepages "
0以外で、かつ業務自体のプログラムと使用していないラージページメモリを出力した場合、CVMは高い確率でウイルスに侵入されています。
処理手順
1. ﻿スナップショットの作成 を参照し、システムデータのバックアップを完了します。
2. ﻿システムの再インストール を参照して、インスタンスシステムを再インストールし、以下の処置を参照してセキュリティポリシーを強化します。
CVMのパスワードを変更し、大文字、小文字、特殊記号、数字を組み合わせた12～16桁の複雑なランダムパスワードを設定します。詳細については、インスタンスのパスワードをリセット をご参照ください。
CVM内の使われていないユーザーを削除します。
sshdのデフォルトの22ポートを1024～65525の間の他の非常用ポートに変更します。詳細については、CVMリモートデフォルトポートの変更 をご参照ください。
CVMのセキュリティグループに関連付けられているルールを管理し、業務およびプロトコルに必要なポートのみをオープンにし、すべてのプロトコルおよびポートをオープンにはしないことを推奨します。詳細については、セキュリティグループルールの追加をご参照ください。
mysql、redisなどのパブリックネットワークにコアアプリケーションサービスポートへのアクセスを開放することは推奨しません。 関連するポートをローカルアクセスに変更、または外部ネットワークアクセス禁止にすることができます。
「雲鏡」、「雲鎖」などの保護ソフトウェアをインストールし、リアルタイムアラームを追加して、異常なログイン情報を速やかに取得できるようにします。

ヘルプとサポート

この記事はお役に立ちましたか？

営業担当者にお問い合わせいただくかチケットを提出してサポートを求めることができます。

フィードバック

tencent cloud

Cloud Virtual Machine

CVMがウイルスに感染した疑い

問題の特定

処理手順

ヘルプとサポート