肉鸡行为 — 对外DDoS

检测您的云服务器（XXX.XXX.XXX.XXX）存在恶意发包行为，为避免影响您服务器的正常使用，请您务必重视并尽快处理，需要您尽快排查您的安全隐患。目前系统不会处罚您的机器，但请您务必重视。

请先查看是否服务被黑客利用进行攻击，对服务进行加固处理方法见以下链接： https://help.aliyun.com/knowledge_detail/13072193.html?spm=5176.789006066.2.17.koPuT1

被黑客控制有以下2种解决方案可供您选择用于解决问题：

方案一：您有技术人员进行解决

请参考以下方法自查：
1、未经授权不得使用扫描器，等其它黑客工具进行非法扫描，否则请提工单进行沟通说明并提供授权测试证明。
2、病毒木马排查。
2.1、使用netstat查看网络连接，分析是否有可疑发送行为，如有则停止。 (linux常见木马，清理命令chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk ‘{print $11}’ | awk -F/ ‘{print $NF}’ | xargs killall -9;）
2.2、使用杀毒软件进行病毒查杀。
3、服务器漏洞排查并修复
3.1、查看服务器账号是否有异常，如有则停止删除掉。
3.2、查看服务器是否有异地登录情况，如有则修改密码为强密码（字每+数字+特殊符号）大小写，10位及以上。
3.3、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic后台密码，提高密码强度（字每+数字+特殊符号）大小写，10位及以上，不需要使用后台建议停止8080等管理端口。
3.4、查看WEB应用是否有漏洞，如struts, ElasticSearch等，如有则请升级。
3.5、查看MySQL、SQLServer、FTP、WEB管理后台等其它有设置密码的地方，提高密码强度（字每+数字+特殊符号）大小写，10位及以上。
3.6、查看Redis无密码可远程写入文件漏洞，检查/root/.ssh/下黑客创建的SSH登录密钥文件，删除掉，修改Redis为有密码访问并使用强密码，不需要公网访问最好bind 127.0.0.1本地访问。
3.7、如果有安装第三方软件，请按官网指引进行修复。
4、开启云盾服务，并开启所有云盾安全防护功能对您的主机进行安全防护，免于再次遭到恶意攻击。
实施安全防御方案
请您尽快开启云盾服务，开启步骤详见：http://help.aliyun.com/view/11108300_13730770.html
同时也建议您开启云盾应用防火墙功能，开启步骤详见：http://help.aliyun.com/view/11108300_13857395.html
5、如果问题仍未解决
经过以上处理还不能解决问题，强烈建议您将系统盘和数据盘的数据完全下载备份到本地保存后，重置全盘（登陆www.aliyun.com, 进入我的阿里云-》管理控制台-》云服务器ECS控制台-》点击进行您需要进行初始化的实例，备份完服务器数据后关闭实例，点击“重置磁盘”，按您的实际情况选择系统盘和数据盘重置即可）后，重新部署程序应用并对数据进行杀毒后上传，并重新进行前述的3步处理。

方案二：直接备份数据重置服务器并进行安全部署

请您直接参考链接进行处理https://help.aliyun.com/knowledge_detail/7613565.html?spm=5176.789006066.2.9.HfuUsB