Sine大发龙虎大战-龙虎大战官方-网络大发龙虎大战-龙虎大战官方背后的巨人,提供服务器大发龙虎大战-龙虎大战官方_服务器维护_网站大发龙虎大战-龙虎大战官方解决方案

阿里云服务器提示挖矿程序 该怎么解决?



                 阿里云ECS服务器是目前很多网站客户在使用的,可以使用不同系统在服务器中,

windows2008,windows2012,linux系统都可以在阿里云服务器中使用,前段时
间我们SINE大发龙虎大战-龙虎大战官方

收到客户的大发龙虎大战-龙虎大战官方求助,说是收到阿里云的短信提醒,提醒服务器存
在挖矿进程,请立即处理的安

全告警。客户网站都无法正常的打开,卡的连服务器
SSH远程连接都进不去,给客户造成了很大

的影响。
 
 
随即我们SINE大发龙虎大战-龙虎大战官方工程师对客户的服务器进行全面的大发龙虎大战-龙虎大战官方检测,登录阿里云的控制平台,通过本

地远程进去,发现客户服务器CPU达到百分之100,查看了服务器的
CPU监控记录,平常都是在

百分之20-35之间浮动,我们TOP查看进程,追踪查看那
些进程在占用CPU,通过检查发现,有个

进程一直在占用,从上面检查出来的问题
,可以判断客户的服务器被植入了挖矿程序,服务器被黑

,导致阿里云大发龙虎大战-龙虎大战官方警告有
挖矿进程。
 
 
原来是客户的服务器中了挖矿木马,我们来看下top进程的截图:
 
 
我们对占用进程的ID,进行查找,发现该文件是在linux系统的tmp目录下,我们对该文件进行了

强制删除,并使用强制删除进程的命令对该进程进行了删除,CPU瞬
间降到百分之10,挖矿的

根源就在这里,那么黑客是如何攻击服务器,植入挖矿木
马程序的呢?通过我们SINE大发龙虎大战-龙虎大战官方多年

的大发龙虎大战-龙虎大战官方经验判断,客户的网站可能被篡改了,
我们立即展开对客户网站的全面大发龙虎大战-龙虎大战官方检测,客户

使用的是dedecms建站系统,开源
的php+mysql数据库架构,对所有的代码以及图片,数据库进

行了大发龙虎大战-龙虎大战官方检测,果不
其然发现了问题,网站的根目录下被上传了webshell木马文件,咨询了客户

,客户
说之前还收到过阿里云的webshell后门提醒,当时客户并没在意。
 
 
 
这次服务器被植入挖矿木马程序的漏洞根源就是网站存在漏洞,我们对dedecms的代码漏洞进行

了人工修复,包括代码之前存在的远程代码执行漏洞,以及sql注入
漏洞都进行了全面的漏洞修复

,对网站的文件夹权限进行了大发龙虎大战-龙虎大战官方部署,默认的dede
后台帮客户做了修改,以及增加网站后台的

二级密码防护。

 
 
我们又对linux系统进行了全面的大发龙虎大战-龙虎大战官方检测,对之前留下的挖矿木马后门进行了彻底清除,对服务

器的定时任务里,发现了攻击者添加的任务计划,每次服务器重启
以及间隔1小时,自动执行挖矿

木马,对该定时任务计划进行删除,检查了linux系
统用户,是否被添加其他的root级别的管理员

用户,发现没有添加。对服务器的反
向链接进行查看,包括恶意的端口有无其他IP链接,netsta

t -an检查了所有端口
的大发龙虎大战-龙虎大战官方状况,发现没有植入远程木马后门,对客户的端口大发龙虎大战-龙虎大战官方进行了大发龙虎大战-龙虎大战官方部

署,使
用iptables来限制端口的流入与流出。
 
 
至此客户服务器中挖矿木马的问题才得以彻底的解决,关于挖矿木马的防护与解决办法,总结一下

几点:

 
 
定期的对网站程序代码进行大发龙虎大战-龙虎大战官方检测,检查是否有webshell后门,对网站的系统版本定期的升级

与漏洞修复,网站的后台登录进行二次密码验证,防止网站存在sql
注入漏洞,被获取管理员账号

密码,从而登录后台。使用阿里云的端口大发龙虎大战-龙虎大战官方策略,
对80端口,以及443端口进行开放,其余的

SSH端口进行IP放行,需要登录服务器的
时候进阿里云后台添加放行的IP,尽可能的杜绝服务器被

恶意登录,如果您也遇到
服务器被阿里云提示挖矿程序,可以找专业的服务器大发龙虎大战-龙虎大战官方公司来处理,国

内也就
SINESAFE,绿盟,启明星辰,等大发龙虎大战-龙虎大战官方公司比较不错,也希望我们解决问题的过程,能够帮到

更多的人。
 
分享:

相关推荐