阿里巴巴云服务器提示如何解决挖矿程序

目前很多网站客户都在使用阿里巴巴云ECS服务器。服务器中可以使用不同的系统。 Windows2008、Windows2012、Linux系统都可以在阿里云服务器上使用。前段时间，我们的 SINE Security 收到了客户的安全协助。据说是安全警报，您收到了阿里云的短信提醒，提醒服务器服务器有挖矿进程，请立即处理。客户端网站无法正常打开，网卡甚至无法访问到服务器的SSH远程连接，对客户端影响很大。

然后我们的SINE安全工程师对客户的服务器进行全面的安全检查，登录阿里云的控制平台如何用服务器挖矿，通过本地远程进入，找到客户服务器的CPU。当达到100%时，我查看了服务器的CPU监控记录。它通常在 20% 到 35% 之间波动。我们TOP检查进程并跟踪检查哪些进程正在占用CPU。通过检查发现有一个进程被占用，从上面检查的问题可以判断客户的服务器被植入了挖矿程序，服务器被黑了，导致阿里云安全警告有一个挖矿过程。

原来客户端的服务器感染了挖矿木马。我们来看看top流程的截图：

我们的占用进程ID有问题，搜索发现该文件在linux系统的tmp目录下。我们强行删除了文件，使用命令强行删除进程。 CPU 立即下降到 10%。挖矿的根源就在这里，那么黑客是如何攻击服务器并植入挖矿木马程序的呢？以我们SINE Security多年的安全经验来看，客户的网站可能已经被篡改过。我们立即启动了对客户网站的全面安全检查。客户使用dedecms建站系统，开源php+mysql数据库架构，所有代码、图片、数据库均经过安全检查。果然，问题找到了。 webshel​​l木马文件上传到网站根目录。咨询客户后，客户表示之前收到过阿里云的webshel​​l后门提醒，但当时客户并不在意。

服务器被植入挖矿木马程序漏洞的根本原因是网站漏洞。我们手动修复了dedecms的代码漏洞，包括代码之前就存在的远程代码执行漏洞，以及sql注入漏洞。均进行了全面漏洞修复，安全部署网站文件夹权限，为客户修改默认dede后台，增加网站后台二级密码保护。

删除木马后门。在服务器的定时任务中，发现了攻击者添加的任务计划。每次重启服务器，间隔1小时，自动执行。挖矿木马，删除定时任务计划，查看Linux系统用户是否已经添加到其他root级管理员用户中，发现没有添加。检查服务器的反向链接，包括恶意端口是否有其他IP链接，netstat -an检查所有端口的安全状态，发现没有植入远程木马后门，安全部署客户端口安全，使用iptables限制港口的流入和流出。

至此，客户端服务器挖木马的问题已经彻底解决。关于挖矿木马的防护和解决方法如何用服务器挖矿，我总结一下

几点：

定期对网站程序代码进行安全检测，检查是否存在webshel​​l后门，定期升级网站系统版本并修复bug，对网站后台登录进行二次密码验证，防止网站被存在sql注入漏洞，被管理员后台获取账号密码登录。使用阿里云的端口安全策略，开放 80 和 443 端口，其余 SSH 端口允许 IP。当需要登录服务器时，到阿里云后台添加已发布的IP，尽可能防止服务器被恶意登录。还遇到阿里云提示服务器挖矿程序。你可以找专业的服务器安全公司来处理。国安、绿盟、金星等国内安防公司相对较好。我也希望解决问题的过程可以帮助我们。更多人。

来自“ITPUB博客”，链接：如需转载，请注明出处，否则追究法律责任。