如何卸载阿里云服务器上的监控插件及其他措施

因为网络连接质量比较好,很多人在阿里云海外的ECS服务器(主要是香港)上跑梯子。而在梯子运行一段时间后,会收到阿里云的邮件。称接到了主管部门的通知,发现在服务器安装了用于获取非法信息的软件,如果不卸载将会ban服务器。这时一般就只能卸载软件甚至重装系统,要不就等着被ban……

阿里云发给用户的警告邮件(来源知乎)

阿里云的ECS服务器(无论国内服务区还是海外服务区)都会默认装上阿里云云盾的agent,其扫描目录的行为非常的本来就让人不安了,而现在又出现了检测梯子的行为,可以说怎么都不让人放心。而对于阿里云新产品,轻量应用服务器,除了安装云盾的agent,还会安装云监控的agent。现在就介绍一下如何卸载这些插件。(以下命令都要用root或者sudo运行)

首先运行:

ps aux | grep aliyun-service

来查看是否会返回grep命令本身以外的进程,如存在则代表服务器安装了阿里云插件。则运行:

wget http://update.aegis.aliyun.com/download/uninstall.sh
chmod +x uninstall.sh
./uninstall.sh
wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh
chmod +x quartz_uninstall.sh
./quartz_uninstall.sh

最后再清除所有残余进程和文件

 pkill aliyun-service
rm -fr /etc/init.d/agentwatch /usr/sbin/aliyun-service
rm -rf /usr/local/aegis*

现在再运行ps aux | grep aliyun-service应该就只会返回grep本身这条结果了。

而对于轻量应用服务器,则还需要卸载一个云监控的插件。

首先运行下列命令确认云监控插件的存在:

ps aux | grep cloudmonitor

同样,如果返回了超过一条的命令则证明插件已安装,则运行以下命令:

sudo bash -c "/usr/local/cloudmonitor/wrapper/bin/cloudmonitor.sh remove
rm -rf /usr/local/cloudmonitor

随后再次用ps命令确认即可。

但即使是这样,仍然不能保证阿里云不会检测出梯子,因为曾经有人报告过即使卸载了这两个插件仍被发警告邮件,证明阿里云可能有别的检测手段,例如旁路监听。所以建议大家在卸载的同时再采取其他一些手段。

修改root密码

阿里云服务的默认root密码是阿里云方面生成的,这简直就直接把钥匙给了阿里云,所以登录服务器的第一件事就是运行passwd改密码。

使用docker运行梯子

原理很简单,阿里云靠ps命令扫描ss进程,再匹配名字。而用docker运行就没有办法看到具体的进程名称。

运行其他类型的梯子

原理同样简单,阿里云扫描的一般都是ss这类运用普遍的梯子,而对于v2ray之类的,估计还没上检测名单,同时v2ray的流量特征也更加无法检测。

最后的最后

有办法还是别用国内主机商提供的服务器做网站/搭梯子,理由如下:

  • 国内云主机从业道德普遍令人担忧,直接不经授权访问用户数据的可能性比较大而且有法理支持。
  • 搭建网站需要备案,费事、费时而且有被喝*的可能。
  • 最后一点,即使你做了这么多防止阿里云访问数据的措施,阿里云还是在物理层面上(硬盘、即使是分片存储)和软件层面上(虚拟机)拥有你数据的访问权,甚至可以直接替换root用户的密钥(要不然服务器初始化就可以安装公钥是怎么实现的?),即使改了密码也无济于事。

总结:最好还是别用阿里云了

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据