阿里云后门为何如此恶心

aliyun-se 2331 root 4u IPv4 35145 0t0 TCP 172.18.13.206:42750->100.100.0.70:80 (ESTABLISHED)

应该是它的安全模块，忍忍吧。

阿里云的安全模块还是有点用的。。。

写个脚本，定时关闭（手动狗头

这算啥后门。。。阿里云真想

@singerll 手抖了，阿里云真想抓你包，可以直接上分光器。

不要用 cloud 镜像

把这个叫做后门，，那么真偷数据的你怎么称呼

@singerll 这就是后门，入侵用户系统了。真想，也可以拿服务器上数据出去买，但这是可以忍耐的吗

@opengps 备份

监控你的一举一动啊，结束进程试试

业务层面加密想当年做的系统，就是连源码带数据拿走，也照样跑不起来我自己 deploy 都要花一天...

@inwar 不是这是不是后门的问题，而是如果仅仅是窃取数据，阿里云完全没必要这样恶心用户，网络层直接上分光器，虚拟机直接后台克隆，用户根本不可能察觉。为何非要冒着被逆向抓包的风险，还占用服务器资源跑个代理，典型的自己恶心自己。。。。我更倾向于这个是做安全和管控用的。

@singerll 抓包无所谓。都是加密的

@kokutou 对小白新手来说是有用

给他 chmod 000 试试

@opengps 后门确实存在啊。

@singerll 你放个文件 名称有点像木马 病毒类的就给你警告了。虚拟机直接后台克隆偷数据，真这样做爆出来请问他家还用做业务吗？ aliyun-se 扫描你文件，美其名曰帮你更安全啊。为了安全你奉献 一点营私出卖一点数据算个啥。

@singerll 嗯 没错的，这里的角度是是否有入侵行为，和是否有盗取数据行为。入侵行为是坐实的，盗取数据这个是不可判断的。动机论，我可能也认为只是沿用了类似 openstack 的逻辑，在新建虚拟机的时候添加了类似性能监控的组件，他们也没多想。或许跟你爸妈关心你知情或不知情给你车底下按了个实时定位仪一样

这个和 360 一样的模式，用隐私换杀毒软件。

@holinhot 真后门不是你能看到的，云虽然集群很大，但他本质还是虚拟机，你玩玩虚拟机就明白了，真看起上你那点数据何必这么费劲，人家自己想做个什么工具出来多容易，犯不着抄袭窃取之类的，你的数据真那么重要也不会这么容易做个镜像放在外部环境下。想想银行，前沿的也用了云，但用的是私有云，物理隔离

@inwar 虚拟机单纯的性能监控目地，其实外部完全可以解决。

@opengps 你是不理解后门吧，后门代表开了一个门，方便人进来，人家想进来随时可以。直于什么时候进来，进来干什么，进来干了什么。这是不可控的。

@holinhot 阴谋论不可取哈，实在有疑问可以 @阿里官方要求开源或者有能力分析下二进制文件。强行注入组件这点是跑不了的，感觉很不专业（ ps 我也没看过 ecs 的用户协议

@holinhot 说个直白的回复（无意引战）：你整个服务器都在待在人家地盘上了，还担心门干啥

@inwar 分析二进制文件意义不大，一般扫描和执行规则是由服务器下发的，也不可能写死在二进制文件里。虽然我不担心偷数据，但扫描和分析你文件、运行的软件、进程等等还是非常有可能的。至于这些数据有何作用？提供给当局吗

腾讯云的 agent 就可以选择不安装

@holinhot 你知道为什么 KTV 的点歌服务器。GA 也要来强行在你服务器上安装一个监控软件吗？

@holinhot 根据使用情况来看，例如的 html 文件存在一些当局认为不当的关键词，然后你的云服务器会被直接停掉，单从外部来实现这个功能几乎不可能做到。

@holinhot 其实存储都是在一块的(盘古?),想取未加密数据也跟插个 u 盘一样简单,当局要也是在法律框架内的(严肃脸)。门面上的规矩感觉还是要的,现在缺了点

我懒人观点，这玩意儿确实有用，可以扫描常见漏洞和监控主机资源使用情况和自动告警等等。

我记得以前装的时候只要不勾上那个选项是不会安装这个玩意儿的，你确认一下是不是安装系统的时候不小心勾上了？

@inwar 直接读你硬盘，这个难度当然高多了，成本也高很多。要大规模监控就更难了

@holinhot 不想装 agent 找一些非主流的发行版试试看呗，html 关键词基本都是明文 http 协议直接被阻断的，至于特种行业的监控软件和 IDC 的信安系统一样只是一个产业罢了。

看看楼里的回复，人家那句“天朝人喜欢用隐私换取便利”是一点没说错。 很多人被 qj 出快感了， 坐上来，自己动

主要还是当局监管力度大，光靠举报和外部扫描，可能每天通报的问题任然非常多。于是从服务器内部扫描或许可以进步缓解监管压力。

看回答，大部分人简直计算机基础知识太弱了把

服务器安全那个框不点勾还有吗？说实话 azure 国际版也有类似功能，这个应该是云安全一个普遍选择，毕竟被攻击造成的损失也给服务商造成影响。

@wslwsl 就只有一个选项叫安全加强 我根本就没选这个啊。

研究 dd 一个系统，直接 dd 云镜像启动不了。
wget -qO- https://mirror.rootnetworks.com/centos-cloud/7/CentOS-7-x86_64-GenericCloud-2003.raw.tar.gz | tar -xzO | dd of=/dev/vda

dd 了一个 net-install 镜像启动也报错。视乎有 linode dd raw 磁盘没毛病

“XX 不是法外之地...” 所以...

搞笑，真要偷你数据还要起个进程给你看？

能不能把后门两个字搞清楚了再发帖，后门能光明正大摆在那让你看着，还能卸载？而且还提供卸载脚本

这个注入是怎么做到的，把 root 分区上 luks 加密试试？

我有个同学学生机 root 密码被人爆破出来了，然后阿里云马上发了邮件给他，提示异常登录，断网以后 vnc 登上去发现 last 命令真的有一个欧洲的 IP 成功登录了，之后他就改 RSA 登录并安装 fail2ban 了。
对于初学者来说这个服务器监控或许真的有点用。如果真想窃取数据，阿里云有能力做热迁移，直接克隆一个硬盘看里面的东西不成了，何必搞得这么麻烦。
如果想自己装个纯净版的，dd 不行的话，自己备份一下网络配置，用 netboot install，然后在 vnc 里重装，然后恢复网络就好了。

kvm 虚拟机是可以通过 libvirt 采集很多虚拟机内部文件进程等信息的。
网络可以通过 ovs 的端口镜像直接获取到虚拟机网卡的所有数据。
不需要你说的这种后门。

担心数据安全就不要用他家的云服务啊，你的数据本来就在别人家里，说的好像没有这个进程别人就获取不到你的数据一样。

六字真言

你们都不看云平台的监控么，不埋个点，那些监控的数据哪来

@nicevar 你是能卸载不过进程还是在

这事儿吧其实是这样：

我不介意阿里云为小白用户提供保驾护航的功能。

但是我应该有权力选择不使用这个功能吧？

@FreeEx 嗯，不过成本就另算了吧，在你机器里装个采集，用的是用户的成本。

@zhchyu999 aws 占时没看到这种类似的东西

安装的镜像的时候，貌似勾选了一个什么安全服务，不要勾选就没有了

@herozzm 然而还是存在, 可能只是关掉这些组件里的某几个功能而已

算了，不讨论了。对小白来说确实有些用，大家想想 360 为什么在中国可以活得很好，这个东西和 360 是一样的道理。那么为什么又有很多人讨厌和反对 360, 同时也有一大波人是 360 的拥护者。

1. 是的，技术上就是后门。上面说不是后门的人缺乏常识。

2. 后门目的不一定用于做坏事，有时目的只是为了方便维护管理。当年灰#鸽子原本创造目的不是木马而是批量管理电脑，但因为实现了后门功能所以多被用于木马。

3. 阿里云不勾选云安全只是不装部分功能，另一部分模块依然自带并运行。

4. 你可以自己卸载删除或者自己重做系统。

5. 上面说因为阿里无论如何都能监控所以不用开后门的人，也是扯淡。虽然阿里能分光网络或复制硬盘来看你的数据，但在客户端上开后门实现监控目的简单多了，而且是占用你的资源(#doge)。

6. 那个官方卸载脚本好像删不干净，你可以自己手动把所有名字带 Aegis/Yun/Ali 的文件删掉。

其实这个东西我碰到过。当年装个翻，跳墙软件就被发邮件警告了。分光器和后台虚拟机克隆一般是针对想拿数据的。小客户看不上。就给这个。看一下你的网站有没有违规的。

想不忍受，就只能用脚投票了。就是这样。

要安全上 gcp,硬盘用自己的密匙加密。

@mnssbe 你这是骂楼主选择阿里云服务主动被 QJ 啊。

其他云有没有对比一下 不就行了？

你都已经自己给出答案了，别人的分析也不听，还来浪费大家的世界干嘛

根据官方介绍，aliyun-service 是阿里云 KVM 平台 ECS 虚拟机配置进程，是 qemu 的一个开源模块，主要负责 KVM 上面的虚拟机的初始化功能； Aegis 包括 AliYunDun 和 AliYunDunUpdate 两个进程，主要负责安全防御和安骑士升级更新

建议你不用云

阿里云还好了

你可以选择不装

聚石塔一定得装, 你不装就是安全不合格, 应用的资格有可能被停掉

我的建议是看看用户条款，还有严格来说云主机真的只是使用权…

这功能对初学者确实有用，不能删才是问题。网上的 aegis 和 aliyundun 卸载脚本我记得就是阿里云客服给的，这次也可以去问问客服看看有没有删除脚本（万一国内版不给还可以去国际版用英文问问看）

如果介意的话可以用 netinstall 重装系统，并用 dm-crypt 加密整个磁盘
至少磁盘文件对阿里云不可见，只要你的服务器和任何一台其他计算机都使用 TLS 通信，那么阿里云就算拿到你的流量也无法解密
对于一般民用而言，已经足够了

用 TLS 的时候注意前向安全（ PFS ）配置要正确

确实恶心，阿里云这算非法入侵了吧？

阿里云之前出了几次大型磐机又不是没试过
所以个人主机扶墙用 cloudflare，传统企业内部应用自建机房（私有云），脱敏应用才放这种公有云

而且阿里也不是第一次的了，记得钉钉的宣发就有，有阿里这样的大公司背书，你还会担心内部通讯泄露？
mdzz

最好的方法就是不要用阿里云。百度云相对来说好一点，也有这种恶心的进程但是能很方便的禁用掉

竟然有这么多替 ali 洗地的，真是悲哀，除了法律的要求，用户是有权利不接受这些东西的，争取权利是应该受到尊重的，哪些随便把自己利益让人践踏的跟说被强奸也可以很爽有得一拼

反正不用，之前弄一个香港的搭梯子。一直被警告，后面就不敢用了。

你们难道不看用户协议吗？一帮在校学生吗？

你可以选择买服务器，找 idc 机房托管

你这个 centos 官方的 kvm 镜像什么都没有，云厂商不装个 agent 怎么初始化主机名 ip 等等，怎么检测主机存活状态？

@salmon5
分配 IP：DHCP
初始化主机名：不需要
检测主机存活状态：这还需要装客户端？？

直接自己 DD 新系统不就好了

@snw 虽然有 cloud-init，平台级的功能还是需要的

能创建机器后有重置密码功能的云服务，我觉得都不称不上安全。AWS 大法好

有个叫 libguestfs 的，可以用这个访问小鸡的文件系统，和用什么镜像无关。

安全模块 可以不勾选吧，我记得。

作为阿里云 5 年代理商的股东，这是阿里云的安全措施，给技术小白使用的，可以选择关闭。如果有技术问题或者优惠，可以加我们客服咨询下，15811397090

ruvds 主机商还是华为赞助的，坛友也发现后台也有个东东，想想就可怕。

@Tigerw @lived 广告

@singerll 这叫大炮打蚊子，监控普通用户根本用不到那些玩意……