臨近2023年底,我們阿里雲上的一台ecs伺服器竟然被阿里雲簡訊提示有挖礦程式,多次收到阿里雲的簡訊提醒說什麼伺服器被植入挖礦程式,造成系統資源大量消耗;而且還收到cpu使用率達到百分之90的安全提醒,我們的伺服器上並沒有執行大量的**,只是乙個公司的展示**,怎麼可能會出現cpu%90以上的告警,然後致電阿里雲技術幫忙檢查伺服器為什麼cpu占用這麼高,得知伺服器被黑,導致中了挖礦木馬,伺服器含有挖礦程序,一直在不停的挖礦才導致cpu這麼高。
伺服器挖礦程式處理過程
首先我們先來了解一下什麼是挖礦:
挖礦是跟區塊鏈以及虛擬幣有關係,虛擬幣是挖礦挖出來的,每間隔一段時間,位元幣或者以太坊虛擬幣就會在他們的區塊鏈系統上生成乙個塊的隨機**,網路上的所有伺服器都可以去找這個隨機**,也就是挖礦的過程對這個隨機**進行挖掘,誰挖到這個**就會產生乙個區塊鏈的塊,那麼位元幣跟以太坊就會獎勵找到隨機**的人,獎勵一定數量的虛擬幣,那麼挖礦的人就會有動力去挖礦,去維護整個區塊鏈節點的網路正常執行,挖礦需要計算雜湊值需要伺服器的處理能力,所以有些攻擊者利用入侵別人伺服器來給自己挖礦,獲取利潤。
知道什麼是挖礦,那麼我們就要從伺服器來入手,我的伺服器是阿里雲 linux centos系統,通過執行top命令來檢視當前伺服器的所有程序,我們來看下圖:
挖礦程式的程序一般都是以一些數字加大小寫字母組合的程序名字,比如:wakuang,qw1a,poa1等等的挖礦程序名字,有的甚至偽裝成正常的程序名來繞過管理員的查殺,最簡單的辦法就是通過top命令看當前占用cpu最高的程序來確定。
看到惡意的程序我們來看下程序的程式是在**呼叫的,lsof -p pid執行這個命令,把top看到程序pid寫上,比如我的pid是888 那就執行lsof -p 888,我們可以看到呼叫的程式檔案位置在**。
如下圖:
從上面的中可以看出,這個程序所使用的檔案位置非常的可疑,我們就開啟這個目錄位址看下目錄裡是否存在惡意的檔案,我們通過檢視發現果真存在惡意的檔案,檔案裡竟然寫了很多惡意的挖礦程式**,我們確定問題後就要刪除這些惡意檔案,對該目錄的檔案進行強制的刪除,對linux系統自啟動的專案進行刪除,去除挖礦程式的自啟動,清除挖礦木馬,kill挖礦的程序,至此伺服器挖礦程式解決完畢。
挖礦程式刪除的安全建議與處理方法
對伺服器的安全要定時的安全檢查,檢查伺服器的系統是否有linux定時任務,以及伺服器重啟動後會不會自動載入啟動項,對於伺服器的連線進行阿里雲安全組策略,對特殊埠進行單獨的放行,比如伺服器的ssh埠,管理員要登入的時候先放行ip,才能登入到伺服器。對伺服器的漏洞進行修復,檢查伺服器為何被上傳木馬檔案,是通過系統漏洞,還是**漏洞進行的入侵。如果自己對伺服器不是太了解的話,可以找專業的網路安全公司來處理挖礦程式,刪除挖礦木馬,像sinesafe,綠盟那些專門做網路安全防護的安全服務商來幫忙。
阿里雲伺服器中挖礦木馬處理過程
登陸伺服器,發現cpu達100 並且安騎士提示有挖礦程序。因為對linux系統不是很熟悉,故而邊找資料邊處理實驗,最後記錄下來以便日後處理備查。首先登陸伺服器,使用top命令檢視程序 cpu飆到100 按cpu消耗排序,排在第一的是乙個名為 imwbr1 的程序,查了一下是乙個挖礦木馬,但是過了一會...
阿里雲伺服器存在惡意挖礦程式
阿里雲發了很多簡訊。進入伺服器,發現速度緩慢。輸入 top命令檢視cpu利用率,發現被佔滿。networkservice sysupdate這兩個程式。netstat anop 也能查詢到很多 networkservice的程式用tcp在執行,首先kill掉上述程序,但是沒有卵用,還是很卡,top命...
阿里雲伺服器處理挖礦程式過程
登入阿里雲伺服器終端,執行top命令,發現有乙個程序netflix占用了98 的cpu,消耗了我的cpu積分,阿里雲cpu積分被消耗後,網速就會變慢。判定其為挖礦程式後,1.進入 ssh 目錄 刪除兩個檔案 如果你沒有用到這兩個檔案的話 cd ssh rm rf authorized keys 你會...