云矿(一款可以在微信上提现的挖矿赚钱app)
阿里云ECS服务器目前很多网站客户都在使用,服务器可以使用不同的系统。windows2008 windows2012,linux Linux系统都可以在阿里云服务器上使用。前段时间收到客户的安全请求,说收到阿里云的短信,提醒服务器有挖矿过程。请立即处理安全警报。客户无法正常打开网站,卡甚至无法访问服务器的SSH远程连接,对客户影响很大。
随即,我们的SINE安全工程师对客户的服务器进行了全面的安全检查,登录阿里云的控制平台,通过本地远程访问,发现客户服务器的CPU达到了100%。查了服务器CPU的监控记录,一般是20%。看看那些占用CPU的进程。通过检查,发现有一个进程被占用了。从上面检测到的问题可以判断,客户的服务器被植入了挖矿程序,服务器被黑客攻击,导致阿里云安全警告存在挖矿过程。
原来客户的服务器中了挖矿木马。我们来看看top进程的截图:
我们搜索了被占用进程的ID,发现文件在linux系统中。从我们在SINE多年的安全经验来看,客户的网站可能被篡改了。我们立即对客户的网站展开了全面的安全检查。客户使用dedecms建站系统,开源php+mysql数据库架构,对所有代码、图片、数据库进行安全检查。果然,问题找到了。webshell木马文件上传到网站根目录,咨询客户。客户表示之前收到过阿里云的webshell借壳提醒。当时,
这一次,植入挖矿木马的服务器漏洞的根本原因是网站的漏洞。我们已经手动修复了dedecms的代码漏洞,包括代码之前就存在的远程代码执行漏洞,以及sql注入漏洞。网站的文件夹权限已经安全部署,为客户修改了默认的dede后台,增加了网站后台的二级密码保护。
清除木马的后根。在服务器的调度任务中,发现攻击者添加的任务计划。每次服务器重启,间隔1小时,自动执行挖矿木马。调度的任务计划被删除,并检查linux系统用户以查看是否添加了其他用户。检查服务器的反向链接,包括恶意端口是否有其他IP链接。netstat -an检查了所有端口的安全状态,没有发现植入远程木马后门。它部署了客户端口的安全性,并使用iptables来限制端口的流入和流出。
至此,客户端服务器的挖矿木马问题彻底解决。关于挖矿木马的防护和解决方法,总结
以下几点:
定期检查网站程序代码的安全性,检查是否有webshell后门,定期升级网站的系统版本。使用阿里云的端口安全策略,开放端口80和端口443,IP释放其余SSH端口。需要登录服务器时,进入阿里云后台添加释放的IP,尽量避免服务器被恶意登录。如果你也遇到服务器被阿里云提示挖矿,可以找专业的服务器安全公司处理。国内安全公司如SINESAFE、绿色联盟、启明星辰等。都挺好的,我们希望解决问题的过程可以由主编负责: