阿里云服务器提醒有挖矿进程怎么办？

目前很多网站客户都在使用阿里云ECS服务器。 服务器中可以使用不同的系统。 Windows2008、windows2012、linux系统都可以在阿里云服务器上使用。 前段时间收到客户的安全请求，说是阿里云收到的。 短信提醒提醒服务器有挖矿进程，请立即处理安全提醒。 客户端的网站无法正常打开，甚至服务器的SSH远程连接也因卡而无法访问，给客户端造成了很大的影响。

随即，我们的赛恩安全工程师对客户的服务器进行了全面的安全检查，登录阿里云的控制平台，通过本地远程访问进入，发现客户服务器的CPU达到了100%。 波动在20-35/之间。 我们通过TOP来检查进程，跟踪并检查哪些进程正在占用CPU。 通过检查，我们发现有一个进程一直在占用CPU。 从以上检查的问题可以判断，该客户的服务器已被植入挖矿。 挖矿程序，服务器被黑，导致阿里云安全警告有挖矿进程。

原来客户端的服务器中了挖矿木马。 我们看一下top进程的截图：

我们查找被占用进程的ID，发现该文件位于Linux系统的tmp目录下。 我们强行删除文件，并使用命令强行删除进程，CPU瞬间降到100。 10/10阿里云服务器ssh，挖矿的根源就在这里阿里云服务器ssh，那么黑客是如何攻击服务器并植入挖矿木马程序的呢？ 根据我们在赛能安全多年的安全经验来看，客户的网站可能被篡改了，我们立即对客户的网站启动了全面的安全检查。 客户使用dedecms建站系统，开源的php+mysql数据库架构，对所有代码和图片以及数据库进行了安全检查，果然发现了问题。 网站根目录下上传了webshel​​l木马文件。 咨询客户后，客户表示之前收到过阿里云的webshel​​l后门提醒，但当时客户并没有在意。

此次服务器被植入挖矿木马程序漏洞的根本原因是网站的漏洞。 我们手动修复了dedecms的代码漏洞，包括代码之前存在的远程代码执行漏洞和sql注入漏洞。 、网站的文件夹权限已安全部署，为客户修改了默认的dede后台，增加了网站后台的二级密码保护。

清除木马后门。 在服务器的计划任务中，发现了攻击者添加的任务计划。 服务器每次重启，间隔1小时，就会自动执行挖矿木马，并删除定时任务计划。 检查Linux系统用户是否为其他root级别管理员用户，添加过，但没有添加。 检查服务器的反向链接，包括恶意端口上是否有其他IP链接，用netstat -an检查所有端口的安全状态，发现没有被植入远程木马后门慈云数据自营海外云服务器,高稳定高性价比,支持弹性配置，安全部署客户的端口安全性，使用 iptables 来限制端口的流入和流出。

至此，客户端服务器挖矿木马的问题已经彻底解决。 关于挖矿木马的防护和解决方案，总结一下几点：

定期对网站程序代码进行安全检查，检查是否存在webshel​​l后门，定期升级网站系统版本并修复漏洞，对网站后台登录进行二次密码验证，防止网站出现sql注入漏洞网站并获取管理员账号密码登录后台。 使用阿里云的端口安全策略开放80端口和443端口，其余SSH端口IP释放。 当您需要登录服务器时，请到阿里云后台添加发布IP，并尽量防止服务器被恶意登录。如果您还遇到阿里云提示服务器有挖矿程序。 你可以找专业的服务器安全公司来处理。 国内的安全公司如SINESAFE、绿盟科技、启明星辰等都是比较好的。 我也希望我们能够在解决问题的过程中为您提供帮助。 更多的人。

手机扫描二维码访问