域名預(yù)訂/競價，好“米”不錯過

臨近2018年底，我們阿里云上的一臺ECS服務(wù)器竟然被阿里云短信提示有挖礦程序，多次收到阿里云的短信提醒說什么服務(wù)器被植入挖礦程序，造成系統(tǒng)資源大量消耗;而且還收到CPU使用率達(dá)到百分之90的安全提醒，我們的服務(wù)器上并沒有運(yùn)行大量的網(wǎng)站，只是一個公司的展示網(wǎng)站，怎么可能會出現(xiàn)CPU%90以上的告警，然后致電阿里云技術(shù)幫忙檢查服務(wù)器為什么CPU占用這么高，得知服務(wù)器被黑，導(dǎo)致中了挖礦木馬，服務(wù)器含有挖礦進(jìn)程，一直在不停的挖礦才導(dǎo)致CPU這么高。

服務(wù)器挖礦程序處理過程

首先我們先來了解一下什么是挖礦：

挖礦是跟區(qū)塊鏈以及虛擬幣有關(guān)系，虛擬幣是挖礦挖出來的，每間隔一段時間，比特幣或者以太坊虛擬幣就會在他們的區(qū)塊鏈系統(tǒng)上生成一個塊的隨機(jī)代碼，網(wǎng)絡(luò)上的所有服務(wù)器都可以去找這個隨機(jī)代碼，也就是挖礦的過程對這個隨機(jī)代碼進(jìn)行挖掘，誰挖到這個代碼就會產(chǎn)生一個區(qū)塊鏈的塊，那么比特幣跟以太坊就會獎勵找到隨機(jī)代碼的人，獎勵一定數(shù)量的虛擬幣，那么挖礦的人就會有動力去挖礦，去維護(hù)整個區(qū)塊鏈節(jié)點的網(wǎng)絡(luò)正常運(yùn)行，挖礦需要計算哈希值需要服務(wù)器的處理能力，所以有些攻擊者利用入侵別人服務(wù)器來給自己挖礦，獲取利潤。

知道什么是挖礦，那么我們就要從服務(wù)器來入手，我的服務(wù)器是阿里云 linux centos系統(tǒng)，通過執(zhí)行top命令來查看當(dāng)前服務(wù)器的所有進(jìn)程，我們來看下圖:

挖礦程序的進(jìn)程一般都是以一些數(shù)字加大小寫字母組合的進(jìn)程名字，比如：WaKuang,Qw1a,Poa1等等的挖礦進(jìn)程名字，有的甚至偽裝成正常的進(jìn)程名來繞過管理員的查殺，最簡單的辦法就是通過TOP命令看當(dāng)前占用CPU最高的進(jìn)程來確定。

看到惡意的進(jìn)程我們來看下進(jìn)程的程序是在哪里調(diào)用的，lsof -p pid執(zhí)行這個命令，把TOP看到進(jìn)程PID寫上，比如我的PID是888 那就執(zhí)行l(wèi)sof -p 888，我們可以看到調(diào)用的程序文件位置在哪里。

如下圖：

從上面的圖片中可以看出，這個進(jìn)程所使用的文件位置非常的可疑，我們就打開這個目錄地址看下目錄里是否存在惡意的文件，我們通過查看發(fā)現(xiàn)果真存在惡意的文件，文件里竟然寫了很多惡意的挖礦程序代碼，我們確定問題后就要刪除這些惡意文件，對該目錄的文件進(jìn)行強(qiáng)制的刪除，對linux系統(tǒng)自啟動的項目進(jìn)行刪除，去除挖礦程序的自啟動，清除挖礦木馬，KILL挖礦的進(jìn)程，至此服務(wù)器挖礦程序解決完畢。

挖礦程序刪除的安全建議與處理方法

對服務(wù)器的安全要定時的安全檢查，檢查服務(wù)器的系統(tǒng)是否有l(wèi)inux定時任務(wù)，以及服務(wù)器重啟動后會不會自動加載啟動項，對于服務(wù)器的連接進(jìn)行阿里云安全組策略，對特殊端口進(jìn)行單獨(dú)的放行，比如服務(wù)器的SSH端口，管理員要登錄的時候先放行IP，才能登錄到服務(wù)器。對服務(wù)器的漏洞進(jìn)行修復(fù)，檢查服務(wù)器為何被上傳木馬文件，是通過系統(tǒng)漏洞，還是網(wǎng)站漏洞進(jìn)行的入侵。如果自己對服務(wù)器不是太了解的話，可以找專業(yè)的網(wǎng)絡(luò)安全公司來處理挖礦程序，刪除挖礦木馬，像Sinesafe,綠盟那些專門做網(wǎng)絡(luò)安全防護(hù)的安全服務(wù)商來幫忙。

本文來源：www.sinesafe.com

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！