windows服务器解决挖矿程序问题

前几天发现服务器报警，cpu使用率已达100%，查资料知道正是最近比较流行的挖矿程序在捣鬼。我们使用的是阿里云的服务器，操作系统是windows server。网上有大量的资料讲如何处理，我把自己处理的思路以及实践过程和大家分享。

1 关闭危险端口

这一步主要是杜绝重复感染，一般挖矿程序都是利用服务器的端口漏洞，将程序放到了服务器上，关闭端口，防止程序重复放到服务器，这样我们就可以关起门来收拾服务器上的挖矿程序了。如何关闭139端口及445端口等危险端口。

参考文章：https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html

2 防火墙开放相关端口

这一步开放端口是为了不影响服务器对外提供的服务，比如web服务的80端口，ftp的20端口，数据库（mysql）的3306，svn的3690等端口，在服务器对外提供服务的时候，会经常用到，需要保持开放状态，在防火墙里进行设置。

参考资料：https://jingyan.baidu.com/article/09ea3ede7311dec0afde3977.html

3 利用命令行命令查看异常端口情况

这一步就是要找出挖矿程序的所在了。在windows中使用命令行命令查看程序的运行状态和端口占用情况，在列表中筛查，看哪些程序比较陌生，可以根据进程名称到网上搜一搜，

如果运行中的程序不是特别多的话，可以很快找到问题进程，找到问题文件，删除之。

参考资料：

http://www.codeweblog.com/windows-%E4%B8%8B%E6%9F%A5%E7%9C%8B%E7%AB%AF%E5%8F%A3%E5%8D%A0%E7%94%A8%E6%83%85%E5%86%B5-netstat-tasklist-findstr/

主要命令： netstat / tasklist / findstr

这种方法，也有可能删除的不够干净，挖矿程序可能潜伏在某个地方，让它的变种出现在你的眼前，删除的可能是变种，过段时间，潜伏的程序又把变种程序生成出来。这时候，就需要用到阿里服务器自带的安全机制，在系统外部直接查找拦截。这些云服务商会提供这些服务，杜绝中毒的事情，不过，一般这种服务是要收费的，毕竟大家还是强调安全，能够保护服务器程序数据安全，花点钱还是值得的。