收到云盾异常登录告警后，最稳妥的做法是立即通过安全组限制管理端口（如 22 或 3389）的访问来源，仅允许可信 IP 连接，然后再排查系统内部日志。

命令速用版

安全组规则主要在云厂商控制台配置，不涉及实例内部命令。若需紧急排查系统内部登录情况，可登录服务器后执行以下命令查看最近登录记录：

last | head

grep "Accepted" /var/log/secure (CentOS/RHEL) 或 grep "Accepted" /var/log/auth.log (Ubuntu/Debian)

注意：如果无法通过 SSH 连接，需通过控制台 VNC 远程连接进行操作。

为什么会这样

云盾的异常登录检测通常基于行为分析，例如短时间内多次密码错误、非惯用地点登录或非工作时间登录。安全组是云服务器实例层面的虚拟防火墙，位于操作系统之前。如果安全组规则将 22 端口（Linux）或 3389 端口（Windows）对 0.0.0.0/0 开放，任何互联网用户都可以尝试连接，这是导致异常登录告警的根本网络原因。仅修改系统密码无法阻止攻击者继续尝试爆破，而安全组规则能从网络层直接阻断连接请求。

分步处理

1. 登录阿里云 ECS 控制台：使用主账号或具有 ECS 管理权限的 RAM 用户登录。

2. 定位安全组：进入实例详情页，点击左侧导航栏“本实例安全组”，找到对应安全组点击“配置规则”。

3. 修改入方向规则：

• 找到授权对象为 0.0.0.0/0 且端口为 22 或 3389 的规则。
• 点击“修改”或“删除”，将授权对象（源 IP）更改为当前运维人员的公网 IP 地址。
• 如果需要多人维护，建议添加多条规则或使用 CIDR 网段，避免直接开放给全网。
• 动态 IP 注意：若本地 IP 频繁变动，建议先添加新规则确认生效后再删除旧规则，或暂时使用 VNC 连接，避免将自己锁在外面。

4. 保存并生效：安全组规则通常秒级生效，无需重启实例。

5. 系统内部加固：在确保能连接的前提下，检查系统内部是否被植入后门，修改关键账户密码。

6. 开启多因素认证（MFA）：建议为 RAM 用户启用 MFA。路径：RAM 控制台 -> 用户管理 -> 选择用户 -> 启用多因素认证。参考文档：https://help.aliyun.com/document_detail/116502.html

怎么验证是否生效

1. 连通性测试：在可信 IP 环境下尝试 SSH 或远程桌面连接，应能正常登录。

2. 阻断测试：切换网络（如使用手机热点，确保 IP 不在白名单内），尝试连接服务器管理端口，连接应超时或被拒绝。

3. 告警观察：回到云盾控制台，观察“威胁检测”或“安全告警”页面，确认在规则修改后不再有新的异常登录告警产生。

常见坑

1. 把自己锁在外面：修改安全组时未添加当前操作 IP 就删除了旧规则，导致无法远程连接。务必先添加新规则，确认生效后再删除旧规则，或保留 VNC 连接通道。

2. 动态 IP 锁定风险：家庭宽带 IP 常变动，修改白名单后可能因 IP 变更导致无法连接。建议绑定弹性公网 IP 或使用堡垒机，若必须用动态 IP，可暂时放宽 CIDR 但需配合强密码及 Fail2Ban。

3. 忽略内网需求：如果内部监控或备份系统通过公网 IP 访问管理端口，修改白名单后可能导致内网业务中断，需确认业务调用链路。

4. 仅依赖安全组：安全组是网络层防护，若系统内部已存在 Webshell 或恶意进程，仅改安全组无法清除威胁，需配合主机安全软件进行查杀。

参考来源

• 阿里云帮助中心 - 安全组配置指南，URL: https://help.aliyun.com/product/28519.html
• 阿里云帮助中心 - 云盾威胁检测服务，URL: https://help.aliyun.com/product/28498.html
• 阿里云帮助中心 - RAM 用户多因素认证，URL: https://help.aliyun.com/document_detail/116502.html