域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過

阿里云ECS服務(wù)器是目前很多網(wǎng)站客戶在使用的，可以使用不同系統(tǒng)在服務(wù)器中，windows2008 windows2012,linux系統(tǒng)都可以在阿里云服務(wù)器中使用，前段時(shí)間我們SINE安全收到客戶的安全求助，說是收到阿里云的短信提醒，提醒服務(wù)器存在挖礦進(jìn)程，請(qǐng)立即處理的安全告警?？蛻艟W(wǎng)站都無法正常的打開，卡的連服務(wù)器SSH遠(yuǎn)程連接都進(jìn)不去，給客戶造成了很大的影響。

隨即我們SINE安全工程師對(duì)客戶的服務(wù)器進(jìn)行全面的安全檢測(cè)，登錄阿里云的控制平臺(tái)，通過本地遠(yuǎn)程進(jìn)去，發(fā)現(xiàn)客戶服務(wù)器CPU達(dá)到百分之100，查看了服務(wù)器的CPU監(jiān)控記錄，平常都是在百分之20-35之間浮動(dòng)，我們TOP查看進(jìn)程，追蹤查看那些進(jìn)程在占用CPU，通過檢查發(fā)現(xiàn)，有個(gè)進(jìn)程一直在占用，從上面檢查出來的問題，可以判斷客戶的服務(wù)器被植入了挖礦程序，服務(wù)器被黑，導(dǎo)致阿里云安全警告有挖礦進(jìn)程。

原來是客戶的服務(wù)器中了挖礦木馬，我們來看下top進(jìn)程的截圖：

我們對(duì)占用進(jìn)程的ID，進(jìn)行查找，發(fā)現(xiàn)該文件是在linux系統(tǒng)的tmp目錄下，我們對(duì)該文件進(jìn)行了強(qiáng)制刪除，并使用強(qiáng)制刪除進(jìn)程的命令對(duì)該進(jìn)程進(jìn)行了刪除，CPU瞬間降到百分之10，挖礦的根源就在這里，那么黑客是如何攻擊服務(wù)器，植入挖礦木馬程序的呢？通過我們SINE安全多年的安全經(jīng)驗(yàn)判斷，客戶的網(wǎng)站可能被篡改了，我們立即展開對(duì)客戶網(wǎng)站的全面安全檢測(cè)，客戶使用的是dedecms建站系統(tǒng)，開源的php+mysql數(shù)據(jù)庫架構(gòu)，對(duì)所有的代碼以及圖片，數(shù)據(jù)庫進(jìn)行了安全檢測(cè)，果不其然發(fā)現(xiàn)了問題，網(wǎng)站的根目錄下被上傳了webshell木馬文件，咨詢了客戶，客戶說之前還收到過阿里云的webshell后門提醒，當(dāng)時(shí)客戶并沒在意。

這次服務(wù)器被植入挖礦木馬程序的漏洞根源就是網(wǎng)站存在漏洞，我們對(duì)dedecms的代碼漏洞進(jìn)行了人工修復(fù)，包括代碼之前存在的遠(yuǎn)程代碼執(zhí)行漏洞，以及sql注入漏洞都進(jìn)行了全面的漏洞修復(fù)，對(duì)網(wǎng)站的文件夾權(quán)限進(jìn)行了安全部署，默認(rèn)的dede后臺(tái)幫客戶做了修改，以及增加網(wǎng)站后臺(tái)的二級(jí)密碼防護(hù)。

清除木馬后門，對(duì)服務(wù)器的定時(shí)任務(wù)里，發(fā)現(xiàn)了攻擊者添加的任務(wù)計(jì)劃，每次服務(wù)器重啟以及間隔1小時(shí)，自動(dòng)執(zhí)行挖礦木馬，對(duì)該定時(shí)任務(wù)計(jì)劃進(jìn)行刪除，檢查了linux系統(tǒng)用戶，是否被添加其他的root級(jí)別的管理員用戶，發(fā)現(xiàn)沒有添加。對(duì)服務(wù)器的反向鏈接進(jìn)行查看，包括惡意的端口有無其他IP鏈接，netstat -an檢查了所有端口的安全狀況，發(fā)現(xiàn)沒有植入遠(yuǎn)程木馬后門，對(duì)客戶的端口安全進(jìn)行了安全部署，使用iptables來限制端口的流入與流出。

至此客戶服務(wù)器中挖礦木馬的問題才得以徹底的解決，關(guān)于挖礦木馬的防護(hù)與解決辦法，總結(jié)一下

幾點(diǎn)：

定期的對(duì)網(wǎng)站程序代碼進(jìn)行安全檢測(cè)，檢查是否有webshell后門，對(duì)網(wǎng)站的系統(tǒng)版本定期的升級(jí)與漏洞修復(fù)，網(wǎng)站的后臺(tái)登錄進(jìn)行二次密碼驗(yàn)證，防止網(wǎng)站存在sql注入漏洞，被獲取管理員賬號(hào)密碼，從而登錄后臺(tái)。使用阿里云的端口安全策略，對(duì)80端口，以及443端口進(jìn)行開放，其余的SSH端口進(jìn)行IP放行，需要登錄服務(wù)器的時(shí)候進(jìn)阿里云后臺(tái)添加放行的IP，盡可能的杜絕服務(wù)器被惡意登錄，如果您也遇到服務(wù)器被阿里云提示挖礦程序，可以找專業(yè)的服務(wù)器安全公司來處理，國(guó)內(nèi)也就SINESAFE,綠盟，啟明星辰，等安全公司比較不錯(cuò)，也希望我們解決問題的過程，能夠幫到更多的人。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！