阿里云控制台天天提示有攻击

        想必很多人用了阿里云的云服务器ECS，开放了80/443端口放置网站之后，都会发现这个问题。于是很多人骂：是不是阿里云这是在向我推荐购买他家安全产品？答案：是。但是只考虑是，就不够理性了，因为忽略了一些非常现实的基本问题。

        公网环境本来就是很恶劣的，举例：

        1，早在互联网初期，就已经有技术牛人（约等于黑客）为了获取某些资源，制作出扫描类软件工具。然后遍历扫描公网ip

        2，云计算时代，服务器ip的网段相对于传统idc往往更加集中。这种特点更加利于扫描器的工作。见附图3，就是本站被扫描的路径，很显然这是自动化扫描工具，因为本站是基于.net编写，路径最后往往是 .aspx 不会出现 .php ,但是扫描器显然已经内置好了某些规则。控制台的攻击提示，正是基于这些“攻击路径”统计而来。

        借此多说一句，公网服务器，对外只开启不得不用的端口，例如发布网站使用了80,443。但是远程管理端口只有自己人用，完全可以修改掉，不用22或者3389，改成一个随机性自己能记住的端口，例如12321。

        3，比特币流行起来之后，很多肉鸡都沦为矿机，很多扫描器都基于这样一个利益目的，自动扫描，扫到之后自动爆破，然后甚至能自动植入挖矿脚本，自动运行。整个过程都是自动。

        4，服务器上的数据往往价值较高，因此，近年来诞生了大量的“加密勒索病毒”，黑客取得服务器的控制权后，偷偷地开始加密，然后勒索钱财。由于网络技术的隐匿性特点较高，所以往往采用比特币进行支付。

        5，行业恶意竞争，这个情况现在少见了，因为很多人已经开始意识到云架构的特点，将数据库放在后台，不再对公网开放端口。迫不得已需要对公网开放的时候，也知道使用白名单，改端口，强密码等手段应付了。但是依然存在很多不合理使用的情况，因此，很多不重视技术的公司，往往面临数据库被竞争对手恶意爆破偷取商业数据的情况。       

        阿里云控制台提示有攻击时候应该怎么做？

        首先，排查。

        就是逐个过滤下，自己是否存在攻击路径提示的文件，如果有，那么就需要顺着路径查看下自己是否存在这类漏洞。从本文图中可见，php由于其框架的便捷性，被大量使用，因此好多攻击都是框架级别的漏洞，这种漏洞，更利于黑客归纳漏洞特点，遍历扫描寻找肉鸡。

        其次，购买安全工具。

        对于企业级用户，有必要用好这个安全工具，也真正式阿里云的目的：购买WAF（web应用防火墙），个人用户省点就省点吧，看看有没有漏洞，泄漏点数据往往无没感觉。但是企业用户，除了要排查漏洞之外，很有必要使用好这类防御工具，及时知道威胁情况。顺便安利一波，购买阿里云产品欢迎领取代金券备用：2bit.cn/q 。发现问题及时，才能避免更大灾难的诞生！！

        其他层面安全。

        有必要自行搭配其他安全工具，安全是个全线路话题，不能锁了大门开了窗户！！这里要说的就很多了，本文仅提示几个工具：安全狗，安全组，防火墙，强密码管理方案等等。

        如图，本站使用的就是阿里云1核2G1M配置的ECS发布。控制台天天提示有攻击，几乎很难见到某一天0攻击：

云计算