阿里云服务器排查挖矿病毒

前两周,忽然收到阿里短信通知云服务器有挖矿嫌疑,,,于是开始排查,虽然最后找到了病毒源文件并删除了,,,但是最后为了保险起见,,还是对云盘进行了初始化操作,,,在此特意记录一下排查的流程:

1. 查看进程:

top -c

一般中了挖矿,服务器的cpu都会被干爆100%,,但我这次中的这个藏得有点深,,,top查看进程都正常,没有可疑进程,,但cpu消耗确实有100%

2. 检查端口状态:

netstat -aulntp

我是在这一步才发现了一个异常的tcp连接,,显示这个tcp连接源在一个不明的外部ip

3. 查看进程号的执行源文件:

proc/pid号/exe

4. 杀死该进程,并删除源文件:

kill -9 pid号
rm -rf 源文件名

5. 检查定时任务:

crontab -l
cat /etc/crontab

6. 检查开机启动项

ll /etc/init.d/
cat /etc/rc.d/rc.local

有的挖矿还会恶意修改系统命令,,比如curl, wget命令等,,,所以一旦中了挖矿病毒,,还是建议云盘初始化比较彻底解决!!

另附一些阿里云官方的服务器安全维护建议:

对于系统安全也建议日常做好防护措施:服务器安全防护的一些建议:
①设置好ECS安全组,例如只允许指定的IP地址进行3389(远程桌面)、22(SSH)登录,避免服务器管理端口被黑客扫描或爆破。
②在ECS安全组中,只放行必要的业务端口(比如80、443),其他无关端口不要放行。
③服务器密码设置复杂点,不要过于太简单。
④应用软件要经常升级到新版本,不要用老版本的软件。
⑤定期对重要服务器做磁盘快照。这样当出现数据丢失、误删数据、数据被黑客篡改(比如勒索病毒)等意外事件时,可以通过磁盘快照回滚恢复您的数据。
⑥根据云安全中心(登录地址 https://yundun.console.aliyun.com/)提示,及时修补高危漏洞(注意:修补前先做快照备份,避免修补漏洞后意外发生)。
⑦更多安全防护建议,请您查看文档 https://help.aliyun.com/knowledge_list/60787.html

 

posted @ 2022-02-03 14:55  Sherlock先生  阅读(615)  评论(0编辑  收藏  举报