最新情報とお知らせ
- 製品情報
- パブリックイメージの更新情報
- OSの公式サポート終了計画
- 製品に関するお知らせ
製品概要
製品の課金
- 課金概要
- 課金モデル
- 課金項目
- 課金モデルの変更
- 購入インスタンス
- 仕様変更の料金説明
- 料金未払いに関する説明
クイックスタート
- カスタム設定によるLinuxインスタンスの購入
- カスタム設定によるWindowsインスタンスの購入
ユーザーガイド
- 操作ガイド一覧
- ご利用制限一覧
- インスタンス
- スポットインスタンス
- リザーブドインスタンス
- イメージ
- ストレージ
- バックアップと復元
- ネットワーク
- セキュリティ
- パスワード/キー
- 監視とアラート
- 運用管理
- 便利な機能
サーバー移行
- オンライン移行
- オフライン移行
- 移行に関するご相談
トラブルシューティング
- CVMインスタンスにログインできない原因や対処法
- Windowsインスタンスのログインに関する障害
- Linuxインスタンスのログインに関する障害
- その他のインスタンスログインに関する障害
- インスタンス実行時の障害
- Linuxインスタンスのメモリに関する障害
- ネットワーク障害
実践チュートリアル
- CVMの選定ガイド
- 環境構築
- ウェブサイトの構築
- アプリケーションの構築
- 可視化ページの構築
- ローカルファイルをCVMへアップロード
- ネットワークパフォーマンステスト
- その他の実践チュートリアル
API リファレンス
- History
- Introduction
- API Category
- Making API Requests
- Region APIs
- Instance APIs
- Cloud Hosting Cluster APIs
- Placement Group APIs
- Image APIs
- Instance Launch Template APIs
- Placement Group APIs
- Key APIs
- Security Group APIs
- Network APIs
- Data Types
- Error Codes
セキュリティとコンプライアンス
- Cloud Access Management（CAM）
- ネットワーク
よくあるご質問
- リージョンとアベイラビリティゾーンに関するご質問
- 課金クラス
- インスタンスに関するご質問
- ストレージに関するご質問
- イメージに関するご質問
- サーバー移行について
- ネットワークに関するご質問
- セキュリティに関するご質問
- OSに関するご質問
- 運用と監視に関するご質問
- CAMに関するご質問
- NTPサービスに関するご質問
- 適用シナリオに関するご質問
Agreements
用語集

CVMがウイルスに感染した疑い

フォーカスモード

フォントサイズ

最終更新日: 2022-05-06 11:46:50

CVMは弱いパスワード、オープンソースコンポーネントの脆弱性などの問題が原因でハッカーに侵入される可能性があります。本文では、CVMがウイルスに侵入されているかどうかを判断する方法とその解決方法を紹介します。
問題の特定
﻿SSH方式を使用 または VNC方式を使用 してインスタンスにログイン後、以下の方法でCVMがウイルスに侵入されているかどうかを判断します。
rc.local に悪意のあるコマンドが追加されている
以下のコマンドを実行し、rc.localファイルを確認します。
cat /etc/rc.local 
例えば、出力情報がwget xx、/tmp/xx など、業務またはお知らせのイメージに追加していないコマンドであった場合、CVMは高い確率でウイルスに侵入されています。
crontab に悪意のあるタスクが追加されている
以下のコマンドを実行し、現在のスケジュール表を列挙します。
crontab -l
例えば、出力情報がwget xx、/tmp/xx など、業務またはお知らせのイメージに追加していないコマンドであった場合、CVMは高い確率でウイルスに侵入されています。
ld.so.preloadで動的ライブラリのハイジャックが増加しています
以下のコマンドを実行し、/etc/ld.so.preloadファイルを確認します。
cat /etc/ld.so.preload
出力情報が業務で追加していない動的ライブラリであった場合、CVMは高い確率でウイルスに侵入されています。
sysctl.conf にラージページメモリが設定されています
以下のコマンドを実行し、ラージページメモリの使用状況を確認します。
sysctl -a | grep "nr_hugepages "
0以外で、かつ業務自体のプログラムと使用していないラージページメモリを出力した場合、CVMは高い確率でウイルスに侵入されています。
処理手順
1. ﻿スナップショットの作成 を参照し、システムデータのバックアップを完了します。
2. ﻿システムの再インストール を参照して、インスタンスシステムを再インストールし、以下の処置を参照してセキュリティポリシーを強化します。
CVMのパスワードを変更し、大文字、小文字、特殊記号、数字を組み合わせた12～16桁の複雑なランダムパスワードを設定します。詳細については、インスタンスのパスワードをリセット をご参照ください。
CVM内の使われていないユーザーを削除します。
sshdのデフォルトの22ポートを1024～65525の間の他の非常用ポートに変更します。詳細については、CVMリモートデフォルトポートの変更 をご参照ください。
CVMのセキュリティグループに関連付けられているルールを管理し、業務およびプロトコルに必要なポートのみをオープンにし、すべてのプロトコルおよびポートをオープンにはしないことを推奨します。詳細については、セキュリティグループルールの追加をご参照ください。
mysql、redisなどのパブリックネットワークにコアアプリケーションサービスポートへのアクセスを開放することは推奨しません。 関連するポートをローカルアクセスに変更、または外部ネットワークアクセス禁止にすることができます。
「雲鏡」、「雲鎖」などの保護ソフトウェアをインストールし、リアルタイムアラームを追加して、異常なログイン情報を速やかに取得できるようにします。

ヘルプとサポート

この記事はお役に立ちましたか？

営業担当者にお問い合わせいただくかチケットを提出してサポートを求めることができます。

フィードバック

tencent cloud

Cloud Virtual Machine

CVMがウイルスに感染した疑い

問題の特定

処理手順

ヘルプとサポート