dedecms老是被黑怎麼辦

阿里雲ECS服務器是目前不少網站客戶在使用的，可使用不一樣系統在服務器中，windows2008 windows2012,linux系統均可以在阿里雲服務器中使用，前段時間咱們SINE安全收到客戶的安全求助，說是收到阿里雲的短信提醒，提醒服務器存在挖礦進程，請當即處理的安全告警。客戶網站都沒法正常的打開，卡的連服務器SSH遠程鏈接都進不去，給客戶形成了很大的影響。

隨即咱們SINE安全工程師對客戶的服務器進行全面的安全檢測，登陸阿里雲的控制平臺，經過本地遠程進去，發現客戶服務器CPU達到百分之100，查看了服務器的CPU監控記錄，日常都是在百分之20-35之間浮動，咱們TOP查看進程，追蹤查看那些進程在佔用CPU，經過檢查發現，有個進程一直在佔用，從上面檢查出來的問題，能夠判斷客戶的服務器被植入了挖礦程序，服務器被黑，致使阿里雲安全警告有挖礦進程。

原來是客戶的服務器中了挖礦木馬，咱們來看下top進程的截圖：

咱們對佔用進程的ID，進行查找，發現該文件是在linux系統的tmp目錄下，咱們對該文件進行了強制刪除，並使用強制刪除進程的命令對該進程進行了刪除，CPU瞬間降到百分之10，挖礦的根源就在這裏，那麼黑客是如何攻擊服務器，植入挖礦木馬程序的呢？經過咱們SINE安全多年的安全經驗判斷，客戶的網站可能被篡改了，咱們當即展開對客戶網站的全面安全檢測，客戶使用的是dedecms建站系統，開源的php+mysql數據庫架構，對全部的代碼以及圖片，數據庫進行了安全檢測，果不其然發現了問題，網站的根目錄下被上傳了webshell木馬文件，諮詢了客戶，客戶說以前還收到過阿里雲的webshell後門提醒，當時客戶並沒在乎。

此次服務器被植入挖礦木馬程序的漏洞根源就是網站存在漏洞，咱們對dedecms的代碼漏洞進行了人工修復，包括代碼以前存在的遠程代碼執行漏洞，以及sql注入漏洞都進行了全面的漏洞修復，對網站的文件夾權限進行了安所有署，默認的dede後臺幫客戶作了修改，以及增長網站後臺的二級密碼防禦。

清除木馬後門，對服務器的定時任務裏，發現了攻擊者添加的任務計劃，每次服務器重啓以及間隔1小時，自動執行挖礦木馬，對該定時任務計劃進行刪除，檢查了linux系統用戶，是否被添加其餘的root級別的管理員用戶，發現沒有添加。對服務器的反向連接進行查看，包括惡意的端口有無其餘IP連接，netstat -an檢查了全部端口的安全情況，發現沒有植入遠程木馬後門，對客戶的端口安全進行了安所有署，使用iptables來限制端口的流入與流出。

至此客戶服務器中挖礦木馬的問題才得以完全的解決，關於挖礦木馬的防禦與解決辦法，總結一下

幾點：

按期的對網站程序代碼進行安全檢測，檢查是否有webshell後門，對網站的系統版本按期的升級與漏洞修復，網站的後臺登陸進行二次密碼驗證，防止網站存在sql注入漏洞，被獲取管理員帳號密碼，從而登陸後臺。使用阿里雲的端口安全策略，對80端口，以及443端口進行開放，其他的SSH端口進行IP放行，須要登陸服務器的時候進阿里雲後臺添加放行的IP，儘量的杜絕服務器被惡意登陸，若是您也遇到服務器被阿里雲提示挖礦程序，能夠找專業的服務器安全公司來處理，國內也就SINESAFE,綠盟，啓明星辰，等安全公司比較不錯，也但願咱們解決問題的過程，可以幫到更多的人。