阿里云ECS服务器被挖矿病毒感染解决办法

问题描述

收到阿里云短信提醒，两台所在不同区域的服务器均受到挖矿病毒感染。

image

问题分析

进入阿里云安全中心，查看安全问题详情，显示挖矿程序和访问恶意下载源。

挖矿程序

访问恶意下载源

可以看到病毒通过脚本从github上下载了一个叫做XMRig 的程序，经了解这个程序是用来挖矿的。

image

XMRig

同时定位到有问题的文件/home/trace，通过这条线索，发现网上也有类似中招的用户（https://cloud.tencent.com/developer/news/304639）。
该病毒文件伪装成常见的系统文件名，实则为病毒。通过virscan云查杀，证实该文件确实为病毒。

查杀结果

image

image

image

image

处理进展

期间，使用阿里云安全中心查杀过这个病毒，但是其处理方式是结束进程，查杀后相关进程确实会结束，但是一段时间后，该程序又会重新启动。根据这篇引用的文章描述，尝试将trace这个文件的执行权限剥夺，然后杀掉这个进程，目前该程序还没有再次启动。
目前尚不清楚病毒感染的原因，可能是端口开放限制太少，也可能是早先在GitHub上泄露了AccessKey所致。
原文地址：http://www.trojx.me/2019/12/18/ecs-miner-virus/