切换到宽版
 
  • 561阅读
  • 1回复

阿里云服务器如何卸载清除监控(安骑士、阿里云盾)并屏蔽IP监测 [复制链接]

上一主题 下一主题
在线同城在线
 

发帖
2425
好评度
4231
只看楼主 倒序阅读 使用道具 楼主  发表于: 2020-12-02
— 本帖被 同城在线 从 会员服务 移动到本区(2020-12-03) —
最近推出《阿里云香港/新加坡轻量服务器5折,30M带宽年付144元》,但是使用阿里云ECS(尤其是海外的)之前得先把监控软件干掉,虽然是用来监控咱们的云服务器是购安全,可用以起到自动扫描查杀病毒的作用,但是你懂的,不卸载清除阿里云监控(安骑士、阿里云盾)的话啥都给阿里云知道了,一点隐私都没了。因为厘米大神已经写过相关文章了,缙哥哥照做照搬一份过来,自己做个记录并分享给大家!

图为缙哥哥在宝塔环境中查看进程管理的结果图,不出意外,拥有AliYunDunaliyun-serviceAliYunDunUpdate三件套。
从缙哥哥的博客服务器中查看进程管理可知,阿里云服务器后台都会运行AliYunDun、aliyun-service、AliYunDunUpdate这三个进程。而我们有些服务器可能不需要用上这个安全功能,因为重要功能都收费了,所以留着也是占资源:
  1. 木马查杀:这个功能也没有用,都种木马了,查也白查(估计以后会收费,或者拆分成高级功能收费)
  2. 暴力破解拦截:这个功能没有用,密码复杂点,用不用云盾都破解不了
  3. 异地登录提醒:这个功能没有用,都登陆了,还用你提示?
除了这三个根本没有其他免费功能了,所以我们要把他彻底卸载。


卸载阿里云盾/安骑士

wget http://update.aegis.aliyun.com/download/uninstall.shchmod +x uninstall.sh./uninstall.shwget http://update.aegis.aliyun.com/download/quartz_uninstall.shchmod +x quartz_uninstall.sh./quartz_uninstall.sh删除残留
pkill aliyun-servicerm -fr /etc/init.d/agentwatch /usr/sbin/aliyun-servicerm -rf /usr/local/aegis*代码备份或者用网友简单粗暴版本:
#!/bin/bash rm -rf /usr/local/aegisfor A in $(ps aux | grep Ali | grep -v grep | awk '{print $2}')dokill -9 $A;done

腾讯云解决方案

据说腾讯云也有类似问题:转
#!/bin/bash#fuck tx processrm -rf /usr/local/sarm -rf /usr/local/agenttoolsrm -rf /usr/local/qcloudprocess=(sap100 secu-tcs-agent sgagent64 barad_agent agent agentPlugInD pvdriver )for i in ${process[@]}dofor A in $(ps aux | grep $i | grep -v grep | awk '{print $2}')dokill -9 $Adonedonechkconfig --level 35 postfix offservice postfix stopecho ''>/var/spool/cron/rootecho '#!/bin/bash' >/etc/rc.localLinks:
  • https://www.v2ex.com/t/217931
  • https://help.aliyun.com/knowledge_detail/40477.html


屏蔽云盾IP监控

而后检查服务器记录时发现一堆 Alibaba.Security.Heimdall 的访问记录。网上查询发现是云盾。
根据官方介绍

云盾会通过公网模拟黑客入侵攻击,进行安全扫描。所以服务器有安全防护时,需要对云盾扫描ip进行放行。
赶快屏蔽!
缙哥哥使用的是宝塔防火墙



网传方法

此处使用UFW,iptables 用户请自己找一下添加方法。注意:如果已有接受 80 端口之类的规则,新增的拒绝 IP 规则在其后将不会生效。所以要在 /etc/ufw/before.rules 设置。
sudo nano 编辑此文件并找到 # End required lines,在其后添加:
拓展阅读:《Linux 文本编辑器 Vim “真 · 简单”使用教程》
# Block Ali Yun Dun  https://help.aliyun.com/knowledge_detail/37436.html-A ufw-before-input -s 140.205.201.0/28 -j DROP-A ufw-before-input -s 140.205.201.16/29 -j DROP-A ufw-before-input -s 140.205.201.32/28 -j DROP-A ufw-before-input -s 140.205.225.192/29 -j DROP-A ufw-before-input -s 140.205.225.200/30 -j DROP-A ufw-before-input -s 140.205.225.184/29 -j DROP-A ufw-before-input -s 140.205.225.183/32 -j DROP-A ufw-before-input -s 140.205.225.206/32 -j DROP-A ufw-before-input -s 140.205.225.205/32 -j DROP-A ufw-before-input -s 140.205.225.195/32 -j DROP-A ufw-before-input -s 140.205.225.204/32 -j DROP保存后运行 sudo ufw reload。完毕!


删除阿里云登录界面欢迎信息

每次登录看到
Welcome to Ubuntu 17.04 (GNU/Linux 4.10.0-19-generic x86_64)* Documentation:  https://help.ubuntu.com* Management:     https://landscape.canonical.com* Support:        https://ubuntu.com/advantageWelcome to Alibaba Cloud Elastic Compute Service !Last login from就莫名的不爽,于是查了一下 sudo nano /etc/motd 就可以编辑/删除倒数第二行的 Welcome to Alibaba Cloud Elastic Compute Service ! 欢迎信息了。
来源于网络
同城中国网 中国第一家B2C 020综合营销门户网站及电子商务平台
在线同城在线

发帖
2425
好评度
4231
只看该作者 沙发  发表于: 2020-12-02
我们在阿里云购买的云服务器开机后进程里都会自带AliYunDun、aliyun-service、AliYunDunUpdate程序。
其实它就是阿里云盾(安骑士),是用来监控咱们的云服务器是购安全,可用以起到自动扫描查杀病毒的作用,同时还可以检测你的服务器是否有违规进程,那么云盾IP又是做什么的?云盾IP是来自阿里云漏洞扫描机,主要是检测你的服务器是否存在已知漏洞。阿里云盾(安骑士)有好处,也有坏处,好处是一定程度保证你的服务器安全(估计作用不大),坏处时时刻刻监控你的云服务器,你完全没有任何隐私而言,不但对病毒起监控作用,还对你存放的内容进行监控。
那么我们是不是可以把自带的阿里云盾(安骑士)卸载了呢?答案是肯定的!


1、卸载阿里云盾(安骑士)

wget http://update.aegis.aliyun.com/download/uninstall.shchmod +x uninstall.sh./uninstall.shwget http://update.aegis.aliyun.com/download/quartz_uninstall.shchmod +x quartz_uninstall.sh./quartz_uninstall.sh
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6


删除残留:

pkill aliyun-servicerm -fr /etc/init.d/agentwatch /usr/sbin/aliyun-servicerm -rf /usr/local/aegis*
  • 1
  • 2
  • 3



2、屏蔽云盾IP

执行下面命令通过“iptables”防火墙来屏蔽云盾IP:
iptables -I INPUT -s 140.205.201.0/28 -j DROPiptables -I INPUT -s 140.205.201.16/29 -j DROPiptables -I INPUT -s 140.205.201.32/28 -j DROPiptables -I INPUT -s 140.205.225.192/29 -j DROPiptables -I INPUT -s 140.205.225.200/30 -j DROPiptables -I INPUT -s 140.205.225.184/29 -j DROPiptables -I INPUT -s 140.205.225.183/32 -j DROPiptables -I INPUT -s 140.205.225.206/32 -j DROPiptables -I INPUT -s 140.205.225.205/32 -j DROPiptables -I INPUT -s 140.205.225.195/32 -j DROPiptables -I INPUT -s 140.205.225.204/32 -j DROP
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11


卸载aliyun-service

rm -rf /usr/sbin/aliyun*
  • 1


关闭cloudmonitor

chkconfig --del cloudmonitor
同城中国网 中国第一家B2C 020综合营销门户网站及电子商务平台
快速回复
限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
上一个 下一个