当前位置:首页 >  站长 >  建站经验 >  正文

阿里云ECS 被植入挖矿木马的处理解决过程分享

 2019-06-06 11:28  来源: A5用户投稿   我来投稿 撤稿纠错

  域名预订/竞价,好“米”不错过

阿里云ECS服务器是目前很多网站客户在使用的,可以使用不同系统在服务器中,windows2008 windows2012,linux系统都可以在阿里云服务器中使用,前段时间我们SINE安全收到客户的安全求助,说是收到阿里云的短信提醒,提醒服务器存在挖矿进程,请立即处理的安全告警。客户网站都无法正常的打开,卡的连服务器SSH远程连接都进不去,给客户造成了很大的影响。

随即我们SINE安全工程师对客户的服务器进行全面的安全检测,登录阿里云的控制平台,通过本地远程进去,发现客户服务器CPU达到百分之100,查看了服务器的CPU监控记录,平常都是在百分之20-35之间浮动,我们TOP查看进程,追踪查看那些进程在占用CPU,通过检查发现,有个进程一直在占用,从上面检查出来的问题,可以判断客户的服务器被植入了挖矿程序,服务器被黑,导致阿里云安全警告有挖矿进程。

原来是客户的服务器中了挖矿木马,我们来看下top进程的截图:

我们对占用进程的ID,进行查找,发现该文件是在linux系统的tmp目录下,我们对该文件进行了强制删除,并使用强制删除进程的命令对该进程进行了删除,CPU瞬间降到百分之10,挖矿的根源就在这里,那么黑客是如何攻击服务器,植入挖矿木马程序的呢?通过我们SINE安全多年的安全经验判断,客户的网站可能被篡改了,我们立即展开对客户网站的全面安全检测,客户使用的是dedecms建站系统,开源的php+mysql数据库架构,对所有的代码以及图片,数据库进行了安全检测,果不其然发现了问题,网站的根目录下被上传了webshell木马文件,咨询了客户,客户说之前还收到过阿里云的webshell后门提醒,当时客户并没在意。

这次服务器被植入挖矿木马程序的漏洞根源就是网站存在漏洞,我们对dedecms的代码漏洞进行了人工修复,包括代码之前存在的远程代码执行漏洞,以及sql注入漏洞都进行了全面的漏洞修复,对网站的文件夹权限进行了安全部署,默认的dede后台帮客户做了修改,以及增加网站后台的二级密码防护。

清除木马后门,对服务器的定时任务里,发现了攻击者添加的任务计划,每次服务器重启以及间隔1小时,自动执行挖矿木马,对该定时任务计划进行删除,检查了linux系统用户,是否被添加其他的root级别的管理员用户,发现没有添加。对服务器的反向链接进行查看,包括恶意的端口有无其他IP链接,netstat -an检查了所有端口的安全状况,发现没有植入远程木马后门,对客户的端口安全进行了安全部署,使用iptables来限制端口的流入与流出。

至此客户服务器中挖矿木马的问题才得以彻底的解决,关于挖矿木马的防护与解决办法,总结一下

几点:

定期的对网站程序代码进行安全检测,检查是否有webshell后门,对网站的系统版本定期的升级与漏洞修复,网站的后台登录进行二次密码验证,防止网站存在sql注入漏洞,被获取管理员账号密码,从而登录后台。使用阿里云的端口安全策略,对80端口,以及443端口进行开放,其余的SSH端口进行IP放行,需要登录服务器的时候进阿里云后台添加放行的IP,尽可能的杜绝服务器被恶意登录,如果您也遇到服务器被阿里云提示挖矿程序,可以找专业的服务器安全公司来处理,国内也就SINESAFE,绿盟,启明星辰,等安全公司比较不错,也希望我们解决问题的过程,能够帮到更多的人。

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关标签
阿里云
挖矿木马

相关文章

  • 阿里云峰会发布《Well-Architected云卓越架构白皮书》:助力企业用好云管好云

    6月1日,2023阿里云峰会·粤港澳大湾区在广州举行,会上阿里云正式推出《云卓越架构白皮书》,为企业用云管云解决方案和产品化落地提供指引,助力企业构建更加安全、高效、稳定的云架构。本书由阿里云架构师团队、产品团队、全球交付团队等众多团队基于过去多年服务企业的经验总结共同撰写,从安全合规、稳定性、成本

    标签:
    阿里云
  • 性价比提升15%,阿里云发布第八代企业级计算实例g8a和性能增强型实例g8ae

    5月17日,2023阿里云峰会·常州站上,阿里云正式发布第八代企业级计算实例g8a以及性能增强性实例g8ae。两款实例搭载第四代AMDEPYC处理器,标配阿里云eRDMA大规模加速能力,网络延时低至8微秒。其中,g8a综合性价比平均提升15%以上,g8ae算力最高提升55%,在AI推理与训练、深度学

    标签:
    阿里云
  • 阿里云分拆上市,张勇发声了!

    5月18日晚,阿里巴巴集团董事会主席兼CEO、阿里云智能集团董事长兼CEO张勇向阿里云员工发出全员信。他表示,阿里云智能计划在未来12个月将从阿里集团完全分拆,并完成上市,在股权和公司治理上形成一家与阿里集团完全独立的新公司。同时,阿里云智能集团将引入外部战略投资者。据阿里巴巴集团最新财报,阿里云智

    标签:
    阿里云
  • 阿里云,在AI战场鸣枪

    文/零度出品/节点商业组阿里史上最大一次组织变革后,内部传达出一个信号:所有业务,只要干得好,都能独立融资上市。一时间,市场众说纷纭。对于谁将成为当前阶段阿里体系第一个独立上市的项目,大家都在猜测。由张勇带队的阿里云,成为市场最关注的独立业务线。两个线索,其一、阿里云已经在国内云服务第一的位置上良久

    标签:
    阿里云
  • 加速元宇宙创新生态,阿里云和伙伴一起探寻奇点

    2月28日至3月1日,由阿里云主办、36氪协办的「阿里云元宇宙加速器」在杭州阿里云谷园区顺利完成集结。集结现场在为期两天的活动中,来自阿里云、大淘系、阿里战投等阿里内部多个团队的相关负责人从不同角度分享了阿里在数字人、XR等与元宇宙主题相关领域的方向和进展,并携手英伟达、声网等生态合作方,积极寻求与

    标签:
    阿里云
    元宇宙

热门排行

信息推荐