阿里云ECS服务器被植入挖矿木马解决方案进程分享

2023-08-20 7941阅读 0评论

阿里云ECS服务器目前很多网站都在使用，但如果安全性不够好，有时会被植入木马。比如我们有时会收到阿里云的短信提醒，提醒服务器有挖矿进程。请立即解决安全警报。

（图片来源网络，侵删）

出现这种情况时，网站往往无法正常打开，甚至SSH远程连接服务器也因卡而无法访问，给我们造成了很大的影响。

这时候我们就需要对云服务器进行安全检查。登录阿里云的控制平台，通过本地远程访问进入，发现我们服务器的CPU已经达到了100%。查看服务器的CPU监控记录后，通常都是100%。浮动在20-35之间，我们通过TOP来检查进程，跟踪查看哪些进程正在占用CPU，通过检查，我们发现有一个进程一直在占用CPU阿里云服务器投诉，从上面检查出来的问题，我们可以判断得知我们的服务器被植入挖矿程序，服务器被黑客入侵，导致阿里云安全警告有挖矿程序。

原来我们的服务器中了挖矿木马。我们看一下top进程的截图：

我们查找被占用进程的ID，发现该文件位于Linux系统的tmp目录下。我们强行删除文件，并使用命令强行删除进程，CPU瞬间降到100。 10/10，挖矿的根源就在这里，那么黑客是如何攻击服务器并植入挖矿木马程序的呢？根据经验判断，我们的网站可能已被篡改。我们需要立即开始对我们的网站进行全面的安全检查。如何利用dedecms建站系统和开源的php+mysql数据库架构来进行所有的代码、图片、数据库呢？经过安全检查，果然发现了问题，网站根目录下上传了一个webshell木马文件。

此次服务器被植入挖矿木马程序漏洞的根本原因是网站的漏洞。我们手动修复了dedecms的代码漏洞，包括代码之前存在的远程代码执行漏洞和sql注入漏洞。，网站的文件夹权限已经安全部署，为我们修改了默认的dede后台慈云数据自营海外云服务器,高稳定高性价比,支持弹性配置，增加了网站后台的二级密码保护。

清除木马后门。在服务器的计划任务中，发现了攻击者添加的任务计划。服务器每次重启，间隔1小时，就会自动执行挖矿木马，并删除定时任务计划。检查Linux系统用户是否为其他root级别管理员用户，添加过，但没有添加。检查服务器的反向链接，包括恶意端口是否有其他IP链接，netstat -an检查所有端口的安全状态，发现没有被植入远程木马后门，我们的端口安全安全部署，使用iptables限制端口的流入和流出。

至此，我们服务器的挖矿木马问题已经彻底解决。关于挖矿木马的防护和解决方案，总结一下几点：

1、定期对网站程序代码进行安全检查，检查是否存在webshell后门，定期对网站系统版本进行升级和修复，对网站后台登录进行二次密码验证，防止网站被恶意攻击。 sql注入漏洞并被获取和管理登录后台的用户账号密码。

2、使用阿里云的端口安全策略，开放80端口和443端口，其余SSH端口IP释放。当需要登录服务器时，到阿里云后台添加释放的IP，尽可能防止服务器被恶意登录。。

如果您也遇到阿里云提示服务器进行挖矿程序的情况阿里云服务器投诉，不妨尝试上述方法。

相关阅读：

1、STM32通过ESP8266连接阿里云详细步骤

2、云计算——ACA学习阿里云云计算服务概述

3、esp8266用arduino连上阿里云（图文操作，100%成功）

4、云原生环境该怎样解决网络安全问题

5、通义灵码牵手阿里云函数计算 FC ，打造智能编码新体验

免责声明

1、本网站属于个人的非赢利性网站，转载的文章遵循原作者的版权声明。
2、本网站转载文章仅为传播更多信息之目的，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所
提供信息的准确性及可靠性，但不保证信息的正确性和完整性，且不对因信息的不正确或遗漏导致的任何
损失或损害承担责任。
3、任何透过本网站网页而链接及得到的资讯、产品及服务，本网站概不负责，亦不负任何法律责任。
4、本网站所刊发、转载的文章，其版权均归原作者所有，如其他媒体、网站或个人从本网下载使用，请在
转载有关文章时务必尊重该文章的著作权，保留本网注明的“稿件来源”，并白负版权等法律责任。

手机扫描二维码访问