阿里雲提示服務器有挖礦程序 該如何處理

臨近2018年末，咱們阿里雲上的一臺ECS服務器居然被阿里雲短信提示有挖礦程序，屢次收到阿里雲的短信提醒說什麼服務器被植入挖礦程序，形成系統資源大量消耗；並且還收到CPU使用率達到百分之90的安全提醒，咱們的服務器上並無運行大量的網站，只是一個公司的展現網站，怎麼可能會出現CPU%90以上的告警，而後致電阿里雲技術幫忙檢查服務器爲何CPU佔用這麼高，得知服務器被黑，致使中了挖礦木馬，服務器含有挖礦進程，一直在不停的挖礦才致使CPU這麼高。

服務器挖礦程序處理過程

首先咱們先來了解一下什麼是挖礦：

挖礦是跟區塊鏈以及虛擬幣有關係，虛擬幣是挖礦挖出來的，每間隔一段時間，比特幣或者以太坊虛擬幣就會在他們的區塊鏈系統上生成一個塊的隨機代碼，網絡上的全部服務器均可以去找這個隨機代碼，也就是挖礦的過程對這個隨機代碼進行挖掘，誰挖到這個代碼就會產生一個區塊鏈的塊，那麼比特幣跟以太坊就會獎勵找到隨機代碼的人，獎勵必定數量的虛擬幣，那麼挖礦的人就會有動力去挖礦，去維護整個區塊鏈節點的網絡正常運行，挖礦須要計算哈希值須要服務器的處理能力，因此有些攻擊者利用入侵別人服務器來給本身挖礦，獲取利潤。

知道什麼是挖礦，那麼咱們就要從服務器來入手，個人服務器是阿里雲 linux centos系統，經過執行top命令來查看當前服務器的全部進程，咱們來看下圖:

挖礦程序的進程通常都是以一些數字加大小寫字母組合的進程名字，好比：WaKuang,Qw1a,Poa1等等的挖礦進程名字，有的甚至假裝成正常的進程名來繞過管理員的查殺，最簡單的辦法就是經過TOP命令看當前佔用CPU最高的進程來肯定。

看到惡意的進程咱們來看下進程的程序是在哪裏調用的，lsof -p pid執行這個命令，把TOP看到進程PID寫上，好比個人PID是888 那就執行lsof -p 888，咱們能夠看到調用的程序文件位置在哪裏。

以下圖：

從上面的圖片中能夠看出，這個進程所使用的文件位置很是的可疑，咱們就打開這個目錄地址看下目錄裏是否存在惡意的文件，咱們經過查看發現果然存在惡意的文件，文件里居然寫了不少惡意的挖礦程序代碼，咱們肯定問題後就要刪除這些惡意文件，對該目錄的文件進行強制的刪除，對linux系統自啓動的項目進行刪除，去除挖礦程序的自啓動，清除挖礦木馬，KILL挖礦的進程，至此服務器挖礦程序解決完畢。

挖礦程序刪除的安全建議與處理方法

對服務器的安全要定時的安全檢查，檢查服務器的系統是否有linux定時任務，以及服務器重啓動後會不會自動加載啓動項，對於服務器的鏈接進行阿里雲安全組策略，對特殊端口進行單獨的放行，好比服務器的SSH端口，管理員要登陸的時候先放行IP，才能登陸到服務器。對服務器的漏洞進行修復，檢查服務器爲什麼被上傳木馬文件，是經過系統漏洞，仍是網站漏洞進行的入侵。若是本身對服務器不是太瞭解的話，能夠找專業的網絡安全公司來處理挖礦程序，刪除挖礦木馬，像Sinesafe,綠盟那些專門作網絡安全防禦的安全服務商來幫忙。