通过Notion查看本文
本文同步发布在j000e.com
前言
卸载起因是昨天上线的发卡平台今天被阿里云发邮件警告了
您好,您的IP指向的内容涉嫌欺诈,请您在24小时内排查整改并【点击本链接】提交说明材料进行反馈。如逾期未处理,根据服务协议,阿里云将对服务进行关停或对账号升级处罚。
因为以前有做梯子的经验,我觉得应该是阿里云盾导致的。
什么是阿里云盾
阿里云盾(AliYunDun),又名安骑士,是阿里云用来监控云服务器是否安全的产品。能够自动化实时入侵威胁检测、病毒查杀、漏洞智能修复、基线一键核查等功能,同时还可以检测你的服务器是否有违规进程的。
那么云盾IP又是做什么的?
云盾IP是来自阿里云漏洞扫描机,主要是检测你的服务器是否存在已知漏洞。阿里云盾有好处,也有坏处,好处是一定程度保证你的服务器安全,坏处是一直监控你的云服务器,你完全没有任何隐私而言,不但对病毒起监控作用,还对你存放的内容进行监控。
结论
网上把阿里云盾描述成了万恶的后门监控,然而官方是提供完善的卸载和关闭方案的,完全可以通过面板和控制台进行操作,网上的卸载教程使用的也是阿里云官方的教程,所以使用官方的卸载方案即可。
卸载阿里云盾
官方参考
如何卸载云安全中心Agent_云安全中心(态势感知)-阿里云帮助中心
前提条件
- 如果您是在服务器上手动卸载Agent(即服务器管理员通过应用程序在服务器上卸载Agent等方式),执行卸载操作前,您必须先在云安全中心控制台为该服务器关闭防病毒和客户端自保护开关,才能成功卸载Agent。关闭防病毒和客户端自保护开关的具体操作,请参见主动防御和客户端自保护。
- 在云安全中心控制台卸载服务器上的Agent时,请务必确保服务器在云安全中心处于在线状态,否则服务器无法接收到卸载Agent的指令。
在控制台卸载Agent
- 登录云安全中心控制台。在左侧导航栏,选择系统配置 > 功能设置。
- 在客户端页签的卸载子页签下的服务器列表中,单击要卸载客户端的服务器操作列的卸载。
- 在卸载提示对话框,选择卸载原因并输入您的建议,单击确定。您可以手动输入服务器名称或IP,查询要卸载Agent的服务器。系统将自动卸载您选择的服务器上的Agent。 卸载Agent后,一般几分钟后(最长3小时),该服务器在云安全中心控制台上的客户端状态会由在线变为离线。该服务器的资产记录仍会保留在云安全中心控制台上。您可以使用解绑功能删除处于离线状态的非阿里云服务器资产的记录。具体操作,请参见修改服务器的保护状态。
使用命令卸载Agent
请根据服务器的操作系统类型,选择卸载Agent的方式。
#阿里云ECS服务器,请在服务器上以root权限执行以下命令:
wget "http://update2.aegis.aliyun.com/download/uninstall.sh" && chmod +x uninstall.sh && ./uninstall.sh
#非阿里云服务器,请在服务器上以root权限执行以下命令:
wget "http://update.aegis.aliyun.com/download/uninstall.sh" && chmod +x uninstall.sh && ./uninstall.sh
#继续执行
wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh && chmod +x quartz_uninstall.sh && ./quartz_uninstall.sh
注:如果出现了无权删除相关的报错
rm: cannot remove '/usr/local/aegis/xxx': Operation not permitted
可以尝试:
- reboot重启再重新执行
./uninstall.sh
和./quartz_uninstall.sh
- 或在上一节”在控制台卸载Agent”中关闭各种保护再执行卸载脚本
删除文件残留
killall -9 aliyun-service
killall -9 CmsGoAgent.linux-amd64
killall -9 AliYunDun
killall -9 AliYunDunUpdate
killall -9 AliSecGuard
killall -9 AliSecureCheck
killall -9 assist_daemon
#以下路径不一定都存在
rm -f /etc/rc2.d/S80aegis /etc/rc3.d/S80aegis /etc/rc4.d/S80aegis /etc/rc5.d/S80aegis /etc/rc.d/rc2.d/S80aegis /etc/rc.d/rc3.d/S80aegis /etc/rc.d/rc4.d/S80aegis /etc/rc.d/rc5.d/S80aegis /etc/init.d/aegis
rm -rf /etc/init.d/agentwatch /usr/sbin/aliyun-service /usr/sbin/aliyun_installer /usr/sbin/aliyun-service.backup /usr/local/aegis /usr/local/cloudmonitor /usr/local/share/aliyun-assist /usr/local/share/assist-daemon /usr/sbin/aliyun-service
屏蔽阿里云盾IP
这一步我觉得没有必要,但是摘抄过来记录一下
iptables -I INPUT -s 140.205.201.0/28 -j DROP
iptables -I INPUT -s 140.205.201.16/29 -j DROP
iptables -I INPUT -s 140.205.201.32/28 -j DROP
iptables -I INPUT -s 140.205.225.192/29 -j DROP
iptables -I INPUT -s 140.205.225.200/30 -j DROP
iptables -I INPUT -s 140.205.225.184/29 -j DROP
iptables -I INPUT -s 140.205.225.183/32 -j DROP
iptables -I INPUT -s 140.205.225.206/32 -j DROP
iptables -I INPUT -s 140.205.225.205/32 -j DROP
iptables -I INPUT -s 140.205.225.195/32 -j DROP
iptables -I INPUT -s 140.205.225.204/32 -j DROP
检查是否已卸载
最后检查下自己服务器上的阿里云盾是否卸载干净了,删除残留后主机安全都逐渐显示为离线就是成功了。或者查看进程里有没有阿里云盾的相关进程了(AliYunDun、aliyun-service和AliYunDunUpdate),可以通过ps -aux | grep -E 'aliyun|AliYunDun'
来检查,如果没有相关进程则说明阿里云盾已经卸载干净了。