域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
臨近2018年底,我們阿里云上的一臺(tái)ECS服務(wù)器竟然被阿里云短信提示有挖礦程序,多次收到阿里云的短信提醒說(shuō)什么服務(wù)器被植入挖礦程序,造成系統(tǒng)資源大量消耗;而且還收到CPU使用率達(dá)到百分之90的安全提醒,我們的服務(wù)器上并沒(méi)有運(yùn)行大量的網(wǎng)站,只是一個(gè)公司的展示網(wǎng)站,怎么可能會(huì)出現(xiàn)CPU%90以上的告警,然后致電阿里云技術(shù)幫忙檢查服務(wù)器為什么CPU占用這么高,得知服務(wù)器被黑,導(dǎo)致中了挖礦木馬,服務(wù)器含有挖礦進(jìn)程,一直在不停的挖礦才導(dǎo)致CPU這么高。
服務(wù)器挖礦程序處理過(guò)程
首先我們先來(lái)了解一下什么是挖礦:
挖礦是跟區(qū)塊鏈以及虛擬幣有關(guān)系,虛擬幣是挖礦挖出來(lái)的,每間隔一段時(shí)間,比特幣或者以太坊虛擬幣就會(huì)在他們的區(qū)塊鏈系統(tǒng)上生成一個(gè)塊的隨機(jī)代碼,網(wǎng)絡(luò)上的所有服務(wù)器都可以去找這個(gè)隨機(jī)代碼,也就是挖礦的過(guò)程對(duì)這個(gè)隨機(jī)代碼進(jìn)行挖掘,誰(shuí)挖到這個(gè)代碼就會(huì)產(chǎn)生一個(gè)區(qū)塊鏈的塊,那么比特幣跟以太坊就會(huì)獎(jiǎng)勵(lì)找到隨機(jī)代碼的人,獎(jiǎng)勵(lì)一定數(shù)量的虛擬幣,那么挖礦的人就會(huì)有動(dòng)力去挖礦,去維護(hù)整個(gè)區(qū)塊鏈節(jié)點(diǎn)的網(wǎng)絡(luò)正常運(yùn)行,挖礦需要計(jì)算哈希值需要服務(wù)器的處理能力,所以有些攻擊者利用入侵別人服務(wù)器來(lái)給自己挖礦,獲取利潤(rùn)。
知道什么是挖礦,那么我們就要從服務(wù)器來(lái)入手,我的服務(wù)器是阿里云 linux centos系統(tǒng),通過(guò)執(zhí)行top命令來(lái)查看當(dāng)前服務(wù)器的所有進(jìn)程,我們來(lái)看下圖:
挖礦程序的進(jìn)程一般都是以一些數(shù)字加大小寫(xiě)字母組合的進(jìn)程名字,比如:WaKuang,Qw1a,Poa1等等的挖礦進(jìn)程名字,有的甚至偽裝成正常的進(jìn)程名來(lái)繞過(guò)管理員的查殺,最簡(jiǎn)單的辦法就是通過(guò)TOP命令看當(dāng)前占用CPU最高的進(jìn)程來(lái)確定。
看到惡意的進(jìn)程我們來(lái)看下進(jìn)程的程序是在哪里調(diào)用的,lsof -p pid執(zhí)行這個(gè)命令,把TOP看到進(jìn)程PID寫(xiě)上,比如我的PID是888 那就執(zhí)行l(wèi)sof -p 888,我們可以看到調(diào)用的程序文件位置在哪里。
如下圖:
從上面的圖片中可以看出,這個(gè)進(jìn)程所使用的文件位置非常的可疑,我們就打開(kāi)這個(gè)目錄地址看下目錄里是否存在惡意的文件,我們通過(guò)查看發(fā)現(xiàn)果真存在惡意的文件,文件里竟然寫(xiě)了很多惡意的挖礦程序代碼,我們確定問(wèn)題后就要?jiǎng)h除這些惡意文件,對(duì)該目錄的文件進(jìn)行強(qiáng)制的刪除,對(duì)linux系統(tǒng)自啟動(dòng)的項(xiàng)目進(jìn)行刪除,去除挖礦程序的自啟動(dòng),清除挖礦木馬,KILL挖礦的進(jìn)程,至此服務(wù)器挖礦程序解決完畢。
挖礦程序刪除的安全建議與處理方法
對(duì)服務(wù)器的安全要定時(shí)的安全檢查,檢查服務(wù)器的系統(tǒng)是否有l(wèi)inux定時(shí)任務(wù),以及服務(wù)器重啟動(dòng)后會(huì)不會(huì)自動(dòng)加載啟動(dòng)項(xiàng),對(duì)于服務(wù)器的連接進(jìn)行阿里云安全組策略,對(duì)特殊端口進(jìn)行單獨(dú)的放行,比如服務(wù)器的SSH端口,管理員要登錄的時(shí)候先放行IP,才能登錄到服務(wù)器。對(duì)服務(wù)器的漏洞進(jìn)行修復(fù),檢查服務(wù)器為何被上傳木馬文件,是通過(guò)系統(tǒng)漏洞,還是網(wǎng)站漏洞進(jìn)行的入侵。如果自己對(duì)服務(wù)器不是太了解的話,可以找專業(yè)的網(wǎng)絡(luò)安全公司來(lái)處理挖礦程序,刪除挖礦木馬,像Sinesafe,綠盟那些專門(mén)做網(wǎng)絡(luò)安全防護(hù)的安全服務(wù)商來(lái)幫忙。
本文來(lái)源:www.sinesafe.com
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!