阿里云ECS服务器被挖矿病毒感染解决办法

问题描述

收到阿里云短信提醒,两台所在不同区域的服务器均受到挖矿病毒感染。


image

问题分析

进入阿里云安全中心,查看安全问题详情,显示挖矿程序访问恶意下载源

挖矿程序

访问恶意下载源

可以看到病毒通过脚本从github上下载了一个叫做XMRig 的程序,经了解这个程序是用来挖矿的。
image

XMRig

同时定位到有问题的文件/home/trace,通过这条线索,发现网上也有类似中招的用户(https://cloud.tencent.com/developer/news/304639)。
该病毒文件伪装成常见的系统文件名,实则为病毒。通过virscan云查杀,证实该文件确实为病毒。

查杀结果

image

image

image

image

处理进展

期间,使用阿里云安全中心查杀过这个病毒,但是其处理方式是结束进程,查杀后相关进程确实会结束,但是一段时间后,该程序又会重新启动。根据这篇引用的文章描述,尝试将trace这个文件的执行权限剥夺,然后杀掉这个进程,目前该程序还没有再次启动。
目前尚不清楚病毒感染的原因,可能是端口开放限制太少,也可能是早先在GitHub上泄露了AccessKey所致。
原文地址:http://www.trojx.me/2019/12/18/ecs-miner-virus/

你可能感兴趣的:(阿里云ECS服务器被挖矿病毒感染解决办法)