阿里雲伺服器提示挖礦程式 該怎麼解決

阿里雲ECS伺服器是目前很多網站客戶在使用的，可以使用不同系統在伺服器中，windows2008 windows2012,linux系統都可以在阿里雲伺服器中使用，前段時間我們SINE安全收到客戶的安全求助，說是收到阿里雲的簡訊提醒，提醒伺服器存在挖礦程式，請立即處理的安全告警。客戶網站都無法正常的開啟，卡的連伺服器SSH遠端連線都進不去，給客戶造成了很大的影響。

隨即我們SINE安全工程師對客戶的伺服器進行全面的安全檢測，登入阿里雲的控制平臺，透過本地遠端進去，發現客戶伺服器CPU達到百分之100，檢視了伺服器的CPU監控記錄，平常都是在百分之20-35之間浮動，我們TOP檢視程式，追蹤檢視那些程式在佔用CPU，透過檢查發現，有個程式一直在佔用，從上面檢查出來的問題，可以判斷客戶的伺服器被植入了挖礦程式，伺服器被黑，導致阿里雲安全警告有挖礦程式。

原來是客戶的伺服器中了挖礦木馬，我們來看下top程式的截圖：

我們對佔用程式的ID，進行查詢，發現該檔案是在linux系統的tmp目錄下，我們對該檔案進行了強制刪除，並使用強制刪除程式的命令對該程式進行了刪除，CPU瞬間降到百分之10，挖礦的根源就在這裡，那麼駭客是如何攻擊伺服器，植入挖礦木馬程式的呢？透過我們SINE安全多年的安全經驗判斷，客戶的網站可能被篡改了，我們立即展開對客戶網站的全面安全檢測，客戶使用的是dedecms建站系統，開源的php+mysql資料庫架構，對所有的程式碼以及圖片，資料庫進行了安全檢測，果不其然發現了問題，網站的根目錄下被上傳了webshell木馬檔案，諮詢了客戶，客戶說之前還收到過阿里雲的webshell後門提醒，當時客戶並沒在意。

這次伺服器被植入挖礦木馬程式的漏洞根源就是網站存在漏洞，我們對dedecms的程式碼漏洞進行了人工修復，包括程式碼之前存在的遠端程式碼執行漏洞，以及sql注入漏洞都進行了全面的漏洞修復，對網站的資料夾許可權進行了安全部署，預設的dede後臺幫客戶做了修改，以及增加網站後臺的二級密碼防護。

清除木馬後門，對伺服器的定時任務裡，發現了攻擊者新增的任務計劃，每次伺服器重啟以及間隔1小時，自動執行挖礦木馬，對該定時任務計劃進行刪除，檢查了linux系統使用者，是否被新增其他的root級別的管理員使用者，發現沒有新增。對伺服器的反向連結進行檢視，包括惡意的埠有無其他IP連結，netstat -an檢查了所有埠的安全狀況，發現沒有植入遠端木馬後門，對客戶的埠安全進行了安全部署，使用iptables來限制埠的流入與流出。

至此客戶伺服器中挖礦木馬的問題才得以徹底的解決，關於挖礦木馬的防護與解決辦法，總結一下

幾點：

定期的對網站程式程式碼進行安全檢測，檢查是否有webshell後門，對網站的系統版本定期的升級與漏洞修復，網站的後臺登入進行二次密碼驗證，防止網站存在sql注入漏洞，被獲取管理員賬號密碼，從而登入後臺。使用阿里雲的埠安全策略，對80埠，以及443埠進行開放，其餘的SSH埠進行IP放行，需要登入伺服器的時候進阿里雲後臺新增放行的IP，儘可能的杜絕伺服器被惡意登入，如果您也遇到伺服器被阿里雲提示挖礦程式，可以找專業的伺服器安全公司來處理，國內也就SINESAFE,綠盟，啟明星辰，等安全公司比較不錯，也希望我們解決問題的過程，能夠幫到更多的人。