记录阿里云服务器挖矿程序处理

前言

突然收到阿里云的短信提醒,说服务器出现了恶意挖矿程序,还好这台上都是测试服务器,之前也做了数据备份,可以放心去整,不过还是得小心严重操作前记得备份下

记录阿里云服务器挖矿程序处理_第1张图片

处理过程

1、检查服务器负载与CPU利用率,确定挖矿程序进程
  • 执行命令: top , 如图: 发现有一个 network01的东西占用cup达到了87%,但我在服务器器根目录下的 tmp 下并没有看到这玩意

记录阿里云服务器挖矿程序处理_第2张图片

  • 由上确定了PID进程号,查看进行所在的目录。执行命令, 并没有明确的位置,可以看到可执行文件链接
ll /proc/进程ID

记录阿里云服务器挖矿程序处理_第3张图片

  • 然后便直接 通过 find / -name network01 查找到了以下位置, 来到该位置目录下也确实找到了network01

在这里插入图片描述

  • 强制杀死挖矿进程, 删除挖矿程序可执行文件 network01, 怕删错就备份下(留个后悔药);

    kill -9 1459261
杀死进程后 , top 命令查看CPU也降下来恢复正常了
2、检查您服务器的防火墙中是否存在挖矿程序地址并清除恶意地址
 iptables -L -n

记录阿里云服务器挖矿程序处理_第4张图片

3、查看端口安全状况是否异常
netstat -aulntp

记录阿里云服务器挖矿程序处理_第5张图片
查看自己公网IP国内网站:http://ip138.com

4、检查服务器的定时任务里是否有攻击者添加的定时任务,对可疑的定时任务文件进行处理,防止二次入侵
crontab -l

在这里插入图片描述

cat /etc/crontab

记录阿里云服务器挖矿程序处理_第6张图片

5、检查服务器启动项是否有可疑程序确保服务器重启后不会有问题
cd  /etc/init.d

记录阿里云服务器挖矿程序处理_第7张图片

cat  /etc/rc.d/rc.local

记录阿里云服务器挖矿程序处理_第8张图片

6、检查了linux系统用户是否被添加其他的root级别的管理员用户
cat /etc/passwd  #用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell

记录阿里云服务器挖矿程序处理_第9张图片

7、检查服务器root是否开启远程权限,生产环境的服务器PermitRootLogin应该设置 no
cat /etc/ssh/sshd_config

记录阿里云服务器挖矿程序处理_第10张图片

8、检查SSH公钥中是否存在挖矿病毒,防止出现持续后门
cat /root/.ssh/authorized_keys

在这里插入图片描述

9、阿里云服务器安全组配置的端口安全策略,对80端口,以及443端口进行开放,其余的SSH端口进行IP放行,需要登录服务器的时候进阿里云后台添加放行的IP,尽可能的杜绝服务器被恶意登录

记录阿里云服务器挖矿程序处理_第11张图片

10、定期的对服务器进行安全检测是否存在挖矿行为,检查是否有webshell后门,对系统版本定期的升级与漏洞修复,系统的后台登录进行二次密码验证,防止系统存在sql注入漏洞。防止挖矿病毒重复感染内网中的其他服务器

也可参考阿里云的挖矿程序实践文档: https://www.alibabacloud.com/help/zh/doc-detail/161236.htm

结语

本次挖矿程序删了挖矿程序执行文件,强制杀死了挖矿进程,定时任务、启动项等其他项并没发现啥可疑,可能是这个黑客人好吧。。。。。。 总归来说服务安全防范要做好防止服务器恶意攻击, 最后希望参考该文章对您有所帮助!

你可能感兴趣的:(安全,linux)