1. 程式人生 > >阿里雲提示伺服器有挖礦程式 該如何處理

阿里雲提示伺服器有挖礦程式 該如何處理

臨近2018年底,我們阿里雲上的一臺ECS伺服器竟然被阿里雲簡訊提示有挖礦程式,多次收到阿里雲的簡訊提醒說什麼伺服器被植入挖礦程式,造成系統資源大量消耗;而且還收到CPU使用率達到百分之90的安全提醒,我們的伺服器上並沒有執行大量的網站,只是一個公司的展示網站,怎麼可能會出現CPU%90以上的告警,然後致電阿里雲技術幫忙檢查伺服器為什麼CPU佔用這麼高,得知伺服器被黑,導致中了挖礦木馬,伺服器含有挖礦程序,一直在不停的挖礦才導致CPU這麼高。

伺服器挖礦程式處理過程

首先我們先來了解一下什麼是挖礦:

挖礦是跟區塊鏈以及虛擬幣有關係,虛擬幣是挖礦挖出來的,每間隔一段時間,比特幣或者以太坊虛擬幣就會在他們的區塊鏈系統上生成一個塊的隨機程式碼,網路上的所有伺服器都可以去找這個隨機程式碼,也就是挖礦的過程對這個隨機程式碼進行挖掘,誰挖到這個程式碼就會產生一個區塊鏈的塊,那麼比特幣跟以太坊就會獎勵找到隨機程式碼的人,獎勵一定數量的虛擬幣,那麼挖礦的人就會有動力去挖礦,去維護整個區塊鏈節點的網路正常執行,挖礦需要計算雜湊值需要伺服器的處理能力,所以有些攻擊者利用入侵別人伺服器來給自己挖礦,獲取利潤。

知道什麼是挖礦,那麼我們就要從伺服器來入手,我的伺服器是阿里雲 linux centos系統,通過執行top命令來檢視當前伺服器的所有程序,我們來看下圖:

挖礦程式的程序一般都是以一些數字加大小寫字母組合的程序名字,比如:WaKuang,Qw1a,Poa1等等的挖礦程序名字,有的甚至偽裝成正常的程序名來繞過管理員的查殺,最簡單的辦法就是通過TOP命令看當前佔用CPU最高的程序來確定。

看到惡意的程序我們來看下程序的程式是在哪裡呼叫的,lsof -p pid執行這個命令,把TOP看到程序PID寫上,比如我的PID是888 那就執行lsof -p 888,我們可以看到呼叫的程式檔案位置在哪裡。

如下圖:

從上面的圖片中可以看出,這個程序所使用的檔案位置非常的可疑,我們就開啟這個目錄地址看下目錄裡是否存在惡意的檔案,我們通過檢視發現果真存在惡意的檔案,檔案裡竟然寫了很多惡意的挖礦程式程式碼,我們確定問題後就要刪除這些惡意檔案,對該目錄的檔案進行強制的刪除,對linux系統自啟動的專案進行刪除,去除挖礦程式的自啟動,清除挖礦木馬,KILL挖礦的程序,至此伺服器挖礦程式解決完畢。

挖礦程式刪除的安全建議與處理方法

對伺服器的安全要定時的安全檢查,檢查伺服器的系統是否有linux定時任務,以及伺服器重啟動後會不會自動載入啟動項,對於伺服器的連線進行阿里雲安全組策略,對特殊埠進行單獨的放行,比如伺服器的SSH埠,管理員要登入的時候先放行IP,才能登入到伺服器。對伺服器的漏洞進行修復,檢查伺服器為何被上傳木馬檔案,是通過系統漏洞,還是網站漏洞進行的入侵。如果自己對伺服器不是太瞭解的話,可以找專業的網路安全公司來處理挖礦程式,刪除挖礦木馬,像Sinesafe,綠盟那些專門做網路安全防護的安全服務商來幫忙。