卸载阿里云盾安骑士云安全中心AgentAegis

Author： Joe
发布时间：April 18, 2023
777 views
No comments
4276 words
Categories： Linux

通过Notion查看本文
本文同步发布在j000e.com

前言

卸载起因是昨天上线的发卡平台今天被阿里云发邮件警告了

您好，您的IP指向的内容涉嫌欺诈，请您在24小时内排查整改并【点击本链接】提交说明材料进行反馈。如逾期未处理，根据服务协议，阿里云将对服务进行关停或对账号升级处罚。

因为以前有做梯子的经验，我觉得应该是阿里云盾导致的。

什么是阿里云盾

阿里云盾（AliYunDun），又名安骑士，是阿里云用来监控云服务器是否安全的产品。能够自动化实时入侵威胁检测、病毒查杀、漏洞智能修复、基线一键核查等功能，同时还可以检测你的服务器是否有违规进程的。

那么云盾IP又是做什么的？

云盾IP是来自阿里云漏洞扫描机，主要是检测你的服务器是否存在已知漏洞。阿里云盾有好处，也有坏处，好处是一定程度保证你的服务器安全，坏处是一直监控你的云服务器，你完全没有任何隐私而言，不但对病毒起监控作用，还对你存放的内容进行监控。

结论

网上把阿里云盾描述成了万恶的后门监控，然而官方是提供完善的卸载和关闭方案的，完全可以通过面板和控制台进行操作，网上的卸载教程使用的也是阿里云官方的教程，所以使用官方的卸载方案即可。

卸载阿里云盾

官方参考

如何卸载云安全中心Agent_云安全中心（态势感知）-阿里云帮助中心

前提条件

如果您是在服务器上手动卸载Agent（即服务器管理员通过应用程序在服务器上卸载Agent等方式），执行卸载操作前，您必须先在云安全中心控制台为该服务器关闭防病毒和客户端自保护开关，才能成功卸载Agent。关闭防病毒和客户端自保护开关的具体操作，请参见主动防御和客户端自保护。
在云安全中心控制台卸载服务器上的Agent时，请务必确保服务器在云安全中心处于在线状态，否则服务器无法接收到卸载Agent的指令。

在控制台卸载Agent

登录云安全中心控制台。在左侧导航栏，选择系统配置 > 功能设置。
在客户端页签的卸载子页签下的服务器列表中，单击要卸载客户端的服务器操作列的卸载。
在卸载提示对话框，选择卸载原因并输入您的建议，单击确定。您可以手动输入服务器名称或IP，查询要卸载Agent的服务器。系统将自动卸载您选择的服务器上的Agent。卸载Agent后，一般几分钟后（最长3小时），该服务器在云安全中心控制台上的客户端状态会由在线变为离线。该服务器的资产记录仍会保留在云安全中心控制台上。您可以使用解绑功能删除处于离线状态的非阿里云服务器资产的记录。具体操作，请参见修改服务器的保护状态。

使用命令卸载Agent

请根据服务器的操作系统类型，选择卸载Agent的方式。

#阿里云ECS服务器，请在服务器上以root权限执行以下命令：
wget "http://update2.aegis.aliyun.com/download/uninstall.sh" && chmod +x uninstall.sh && ./uninstall.sh
#非阿里云服务器，请在服务器上以root权限执行以下命令：
wget "http://update.aegis.aliyun.com/download/uninstall.sh" && chmod +x uninstall.sh && ./uninstall.sh
#继续执行
wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh && chmod +x quartz_uninstall.sh && ./quartz_uninstall.sh

注：如果出现了无权删除相关的报错

rm: cannot remove '/usr/local/aegis/xxx': Operation not permitted

可以尝试：

reboot重启再重新执行./uninstall.sh和./quartz_uninstall.sh
或在上一节”在控制台卸载Agent”中关闭各种保护再执行卸载脚本

删除文件残留

killall -9 aliyun-service
killall -9 CmsGoAgent.linux-amd64
killall -9 AliYunDun
killall -9 AliYunDunUpdate
killall -9 AliSecGuard
killall -9 AliSecureCheck
killall -9 assist_daemon
#以下路径不一定都存在
rm -f /etc/rc2.d/S80aegis /etc/rc3.d/S80aegis /etc/rc4.d/S80aegis /etc/rc5.d/S80aegis /etc/rc.d/rc2.d/S80aegis /etc/rc.d/rc3.d/S80aegis /etc/rc.d/rc4.d/S80aegis /etc/rc.d/rc5.d/S80aegis /etc/init.d/aegis

rm -rf /etc/init.d/agentwatch /usr/sbin/aliyun-service /usr/sbin/aliyun_installer /usr/sbin/aliyun-service.backup /usr/local/aegis /usr/local/cloudmonitor /usr/local/share/aliyun-assist /usr/local/share/assist-daemon /usr/sbin/aliyun-service

屏蔽阿里云盾IP

这一步我觉得没有必要，但是摘抄过来记录一下

iptables -I INPUT -s 140.205.201.0/28 -j DROP
iptables -I INPUT -s 140.205.201.16/29 -j DROP
iptables -I INPUT -s 140.205.201.32/28 -j DROP
iptables -I INPUT -s 140.205.225.192/29 -j DROP
iptables -I INPUT -s 140.205.225.200/30 -j DROP
iptables -I INPUT -s 140.205.225.184/29 -j DROP
iptables -I INPUT -s 140.205.225.183/32 -j DROP
iptables -I INPUT -s 140.205.225.206/32 -j DROP
iptables -I INPUT -s 140.205.225.205/32 -j DROP
iptables -I INPUT -s 140.205.225.195/32 -j DROP
iptables -I INPUT -s 140.205.225.204/32 -j DROP

检查是否已卸载

最后检查下自己服务器上的阿里云盾是否卸载干净了，删除残留后主机安全都逐渐显示为离线就是成功了。或者查看进程里有没有阿里云盾的相关进程了（AliYunDun、aliyun-service和AliYunDunUpdate），可以通过ps -aux | grep -E 'aliyun|AliYunDun'来检查，如果没有相关进程则说明阿里云盾已经卸载干净了。

THE END

最后修改：2023 年 04 月 18 日 16 : 29
本文链接：https://www.j000e.com/linux/Uninstall-Aliyundun.html
版权声明：本文『卸载阿里云盾安骑士云安全中心AgentAegis』为『Joe』原创。著作权归作者所有。
转载说明：『卸载阿里云盾安骑士云安全中心AgentAegis || Joe's Blog』转载许可类型见文末右下角标识。允许规范转载时，转载文章需注明原文出处及地址。

Last modification：April 18, 2023

卸载阿里云盾安骑士云安全中心AgentAegis

Joe • 2023 年 04 月 18 日

<div class="tip share">请注意，本文编写于 373 天前，最后修改于 373 天前，其中某些信息可能已经过时。</div>

<blockquote><span class="external-link"><a class="no-external-link" href="https://www.notion.so/Agent-Aegis-d32012f584f2448db15e2e73ce34307f" target="_blank"><i data-feather="external-link"></i>通过Notion查看本文</a></span><br><a href="https://www.j000e.com/">本文同步发布在j000e.com</a></blockquote><div class="index-menu"><ul class="index-menu-list"><li class="index-menu-item"><a data-scroll class="index-menu-link current" href="#menu_index_1" title="前言">前言</a><ul class="index-menu-list"><li class="index-menu-item"><a data-scroll class="index-menu-link " href="#menu_index_2" title="什么是阿里云盾">什么是阿里云盾</a></li><li class="index-menu-item"><a data-scroll class="index-menu-link " href="#menu_index_3" title="那么云盾IP又是做什么的？">那么云盾IP又是做什么的？</a></li><li class="index-menu-item"><a data-scroll class="index-menu-link " href="#menu_index_4" title="结论">结论</a></li></ul></li><li class="index-menu-item"><a data-scroll class="index-menu-link " href="#menu_index_5" title="卸载阿里云盾">卸载阿里云盾</a><ul class="index-menu-list"><li class="index-menu-item"><a data-scroll class="index-menu-link " href="#menu_index_6" title="前提条件">前提条件</a></li><li class="index-menu-item"><a data-scroll class="index-menu-link " href="#menu_index_7" title="在控制台卸载Agent">在控制台卸载Agent</a></li><li class="index-menu-item"><a data-scroll class="index-menu-link " href="#menu_index_8" title="使用命令卸载Agent">使用命令卸载Agent</a></li></ul></li><li class="index-menu-item"><a data-scroll class="index-menu-link " href="#menu_index_9" title="删除文件残留">删除文件残留</a></li><li class="index-menu-item"><a data-scroll class="index-menu-link " href="#menu_index_10" title="屏蔽阿里云盾IP">屏蔽阿里云盾IP</a></li><li class="index-menu-item"><a data-scroll class="index-menu-link " href="#menu_index_11" title="检查是否已卸载">检查是否已卸载</a></li></ul></div><span class="menu-target-fix" id="menu_index_1" name="menu_index_1"></span><h1>前言</h1><p>卸载起因是昨天上线的<span class="external-link"><a class="no-external-link" href="https://www.notion.so/aaPanel-a06d752d4c5a40aa992733122a73dd13" target="_blank"><i data-feather="external-link"></i>发卡平台</a></span>今天被阿里云发邮件警告了</p><blockquote><p>您好，您的IP指向的内容涉嫌欺诈，请您在24小时内排查整改并【点击本链接】提交说明材料进行反馈。如逾期未处理，根据服务协议，阿里云将对服务进行关停或对账号升级处罚。</p><p><img src="https://cdn.jsdelivr.net/gh/J0O0O0O0E/PicsBackup@master/j000e.com/Pic2.0/20230418162247.webp" alt="" title=""style=""></p></blockquote><p>因为以前有做梯子的经验，我觉得应该是阿里云盾导致的。</p><span class="menu-target-fix" id="menu_index_2" name="menu_index_2"></span><h2>什么是阿里云盾</h2><p>阿里云盾（AliYunDun），又名安骑士，是阿里云用来监控云服务器是否安全的产品。能够自动化实时入侵威胁检测、病毒查杀、漏洞智能修复、基线一键核查等功能，同时还可以检测你的服务器是否有违规进程的。</p><span class="menu-target-fix" id="menu_index_3" name="menu_index_3"></span><h2>那么云盾IP又是做什么的？</h2><p>云盾IP是来自阿里云漏洞扫描机，主要是检测你的服务器是否存在已知漏洞。阿里云盾有好处，也有坏处，好处是一定程度保证你的服务器安全，坏处是一直监控你的云服务器，你完全没有任何隐私而言，不但对病毒起监控作用，还对你存放的内容进行监控。</p><span class="menu-target-fix" id="menu_index_4" name="menu_index_4"></span><h2>结论</h2><p>网上把阿里云盾描述成了万恶的后门监控，然而官方是提供完善的卸载和关闭方案的，完全可以通过面板和控制台进行操作，网上的卸载教程使用的也是阿里云官方的教程，所以使用官方的卸载方案即可。</p><span class="menu-target-fix" id="menu_index_5" name="menu_index_5"></span><h1>卸载阿里云盾</h1><p>官方参考</p><p><span class="external-link"><a class="no-external-link" href="https://help.aliyun.com/document_detail/68616.html?userCode=kj5ig4dp" target="_blank"><i data-feather="external-link"></i>如何卸载云安全中心Agent_云安全中心（态势感知）-阿里云帮助中心</a></span></p><span class="menu-target-fix" id="menu_index_6" name="menu_index_6"></span><h2>前提条件</h2><ul><li>如果您是在服务器上手动卸载Agent（即服务器管理员通过应用程序在服务器上卸载Agent等方式），执行卸载操作前，您必须先在云安全中心控制台为该服务器关闭防病毒和客户端自保护开关，才能成功卸载Agent。关闭防病毒和客户端自保护开关的具体操作，请参见<span class="external-link"><a class="no-external-link" href="https://help.aliyun.com/document_detail/197281.htm?spm=a2c4g.68616.0.0.260e17c0R9jZQC#section-8ad-fnl-sb4" target="_blank"><i data-feather="external-link"></i>主动防御</a></span>和<span class="external-link"><a class="no-external-link" href="https://help.aliyun.com/document_detail/460802.htm?spm=a2c4g.68616.0.0.260e17c0R9jZQC#section-6gj-3um-erm" target="_blank"><i data-feather="external-link"></i>客户端自保护</a></span>。</li><li>在云安全中心控制台卸载服务器上的Agent时，请务必确保服务器在云安全中心处于在线状态，否则服务器无法接收到卸载Agent的指令。</li></ul><span class="menu-target-fix" id="menu_index_7" name="menu_index_7"></span><h2><strong>在控制台卸载Agent</strong></h2><ol><li><span class="external-link"><a class="no-external-link" href="https://yundun.console.aliyun.com/?p=sas" target="_blank"><i data-feather="external-link"></i>登录云安全中心控制台</a></span>。在左侧导航栏，选择系统配置 &gt; 功能设置。</li><li>在客户端页签的卸载子页签下的服务器列表中，单击要卸载客户端的服务器操作列的卸载。</li><li>在卸载提示对话框，选择卸载原因并输入您的建议，单击确定。您可以手动输入服务器名称或IP，查询要卸载Agent的服务器。系统将自动卸载您选择的服务器上的Agent。 卸载Agent后，一般几分钟后（最长3小时），该服务器在云安全中心控制台上的客户端状态会由在线变为离线。该服务器的资产记录仍会保留在云安全中心控制台上。您可以使用解绑功能删除处于离线状态的非阿里云服务器资产的记录。具体操作，请参见<span class="external-link"><a class="no-external-link" href="https://help.aliyun.com/document_detail/128511.htm#section-rge-30e-dur" target="_blank"><i data-feather="external-link"></i>修改服务器的保护状态</a></span>。</li></ol><p><img src="https://cdn.jsdelivr.net/gh/J0O0O0O0E/PicsBackup@master/j000e.com/Pic2.0/20230418162253.webp" alt="" title=""style=""></p><p><img src="https://cdn.jsdelivr.net/gh/J0O0O0O0E/PicsBackup@master/j000e.com/Pic2.0/20230418162257.webp" alt="" title=""style=""></p><p><img src="https://cdn.jsdelivr.net/gh/J0O0O0O0E/PicsBackup@master/j000e.com/Pic2.0/20230418162302.webp" alt="" title=""style=""></p><span class="menu-target-fix" id="menu_index_8" name="menu_index_8"></span><h2>使用命令卸载Agent</h2><p>请根据服务器的操作系统类型，选择卸载Agent的方式。</p><pre><code class="lang-bash">#阿里云ECS服务器，请在服务器上以root权限执行以下命令：
wget &quot;http://update2.aegis.aliyun.com/download/uninstall.sh&quot; &amp;&amp; chmod +x uninstall.sh &amp;&amp; ./uninstall.sh
#非阿里云服务器，请在服务器上以root权限执行以下命令：
wget &quot;http://update.aegis.aliyun.com/download/uninstall.sh&quot; &amp;&amp; chmod +x uninstall.sh &amp;&amp; ./uninstall.sh
#继续执行
wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh &amp;&amp; chmod +x quartz_uninstall.sh &amp;&amp; ./quartz_uninstall.sh</code></pre><p>注：如果出现了无权删除相关的报错</p><p><code>rm: cannot remove '/usr/local/aegis/xxx': Operation not permitted</code></p><p>可以尝试：</p><ol><li>reboot重启再重新执行<code>./uninstall.sh</code>和<code>./quartz_uninstall.sh</code></li><li>或在上一节”<strong>在控制台卸载Agent”</strong>中关闭各种保护再执行卸载脚本</li></ol><span class="menu-target-fix" id="menu_index_9" name="menu_index_9"></span><h1>删除文件残留</h1><pre><code class="lang-bash">killall -9 aliyun-service
killall -9 CmsGoAgent.linux-amd64
killall -9 AliYunDun
killall -9 AliYunDunUpdate
killall -9 AliSecGuard
killall -9 AliSecureCheck
killall -9 assist_daemon
#以下路径不一定都存在
rm -f /etc/rc2.d/S80aegis /etc/rc3.d/S80aegis /etc/rc4.d/S80aegis /etc/rc5.d/S80aegis /etc/rc.d/rc2.d/S80aegis /etc/rc.d/rc3.d/S80aegis /etc/rc.d/rc4.d/S80aegis /etc/rc.d/rc5.d/S80aegis /etc/init.d/aegis

rm -rf /etc/init.d/agentwatch /usr/sbin/aliyun-service /usr/sbin/aliyun_installer /usr/sbin/aliyun-service.backup /usr/local/aegis /usr/local/cloudmonitor /usr/local/share/aliyun-assist /usr/local/share/assist-daemon /usr/sbin/aliyun-service</code></pre><span class="menu-target-fix" id="menu_index_10" name="menu_index_10"></span><h1><strong><em><em>屏蔽阿里云盾IP</em></strong></em></h1><p>这一步我觉得没有必要，但是摘抄过来记录一下</p><pre><code class="lang-bash">iptables -I INPUT -s 140.205.201.0/28 -j DROP
iptables -I INPUT -s 140.205.201.16/29 -j DROP
iptables -I INPUT -s 140.205.201.32/28 -j DROP
iptables -I INPUT -s 140.205.225.192/29 -j DROP
iptables -I INPUT -s 140.205.225.200/30 -j DROP
iptables -I INPUT -s 140.205.225.184/29 -j DROP
iptables -I INPUT -s 140.205.225.183/32 -j DROP
iptables -I INPUT -s 140.205.225.206/32 -j DROP
iptables -I INPUT -s 140.205.225.205/32 -j DROP
iptables -I INPUT -s 140.205.225.195/32 -j DROP
iptables -I INPUT -s 140.205.225.204/32 -j DROP</code></pre><span class="menu-target-fix" id="menu_index_11" name="menu_index_11"></span><h1>检查是否已卸载</h1><p>最后检查下自己服务器上的阿里云盾是否卸载干净了，删除残留后主机安全都逐渐显示为离线就是成功了。或者查看进程里有没有阿里云盾的相关进程了（AliYunDun、aliyun-service和AliYunDunUpdate），可以通过<code>ps -aux | grep -E 'aliyun|AliYunDun'</code>来检查，如果没有相关进程则说明阿里云盾已经卸载干净了。</p>

卸载阿里云盾安骑士云安全中心AgentAegis

前言

什么是阿里云盾

那么云盾IP又是做什么的？

结论

卸载阿里云盾

前提条件

在控制台卸载Agent

使用命令卸载Agent

删除文件残留

屏蔽阿里云盾IP

检查是否已卸载

Leave a Comment Cancel reply
Our site uses cookies to store your personal information for faster commenting. By continuing to comment, you agree to this term.

TeraCopy加速复制程序(注册码)

Cloudflare Workers: 反向代理 | 重定向

理解安卓应用的自启动/电池优化/休眠关系与FCM在大陆的运行条件实测

Microsoft365使用非GoDaddy域名做为Outlook的个性化邮件地址以及Outlook发件人姓名颠倒问题

国行三星电视换区享受国外流媒体

Ubuntu18.04更新内核

Nextcloud在线协同Office编辑器Onlyoffice Document Server搭建

Ubuntu18.04和16.04更新源

Win10不识别VT-x虚拟化

黑群晖(二):系统安装及BIOS设置篇 - J3455 918+ 6.2.2 全洗白

卸载阿里云盾安骑士云安全中心AgentAegis

前言

什么是阿里云盾

那么云盾IP又是做什么的？

结论

卸载阿里云盾

前提条件

在控制台卸载Agent

使用命令卸载Agent

删除文件残留

屏蔽阿里云盾IP

检查是否已卸载

Leave a Comment Cancel reply Our site uses cookies to store your personal information for faster commenting. By continuing to comment, you agree to this term.

卸载阿里云盾安骑士云安全中心AgentAegis

Leave a Comment Cancel reply
Our site uses cookies to store your personal information for faster commenting. By continuing to comment, you agree to this term.