阿里云ECS服务器被植入挖矿木马解决过程分享
阿里云ECS服务器是目前很多网站我们在使用的,但是如果安全做的不够好,有时候就会被植入木马,例如我们有时候会收到阿里云的短信提醒,提醒服务器存在挖矿进程,请立即处理的安全告警。
出现这种情况往往网站都无法正常的打开,卡的连服务器SSH远程连接都进不去,给我们造成了很大的影响。
这时候我们就需要对云服务器做安全检测了,登录阿里云的控制平台,通过本地远程进去,发现我们服务器CPU达到百分之100,查看了服务器的CPU监控记录,平常都是在百分之20-35之间浮动,我们TOP查看进程,追踪查看那些进程在占用CPU,通过检查发现,有个进程一直在占用,从上面检查出来的问题,可以判断我们的服务器被植入了挖矿程序,服务器被黑,导致阿里云安全警告有挖矿进程。
原来是我们的服务器中了挖矿木马,我们来看下top进程的截图:
我们对占用进程的ID,进行查找,发现该文件是在linux系统的tmp目录下,我们对该文件进行了强制删除,并使用强制删除进程的命令对该进程进行了删除,CPU瞬间降到百分之10,挖矿的根源就在这里,那么黑客是如何攻击服务器,植入挖矿木马程序的呢?通过经验判断,我们的网站可能被篡改了,我们需要立即展开对我们网站的全面安全检测,如何我们使用的是dedecms建站系统,开源的php+mysql数据库架构,对所有的代码以及图片,数据库进行了安全检测,果不其然发现了问题,网站的根目录下被上传了webshell木马文件。
这次服务器被植入挖矿木马程序的漏洞根源就是网站存在漏洞,我们对dedecms的代码漏洞进行了人工修复,包括代码之前存在的远程代码执行漏洞,以及sql注入漏洞都进行了全面的漏洞修复,对网站的文件夹权限进行了安全部署,默认的dede后台帮我们做了修改,以及增加网站后台的二级密码防护。
清除木马后门,对服务器的定时任务里,发现了攻击者添加的任务计划,每次服务器重启以及间隔1小时,自动执行挖矿木马,对该定时任务计划进行删除,检查了linux系统用户,是否被添加其他的root级别的管理员用户,发现没有添加。对服务器的反向链接进行查看,包括恶意的端口有无其他IP链接,netstat -an检查了所有端口的安全状况,发现没有植入远程木马后门,对我们的端口安全进行了安全部署,使用iptables来限制端口的流入与流出。
至此我们服务器中挖矿木马的问题才得以彻底的解决,关于挖矿木马的防护与解决办法,总结一下几点:
1.定期的对网站程序代码进行安全检测,检查是否有webshell后门,对网站的系统版本定期的升级与漏洞修复,网站的后台登录进行二次密码验证,防止网站存在sql注入漏洞,被获取管理员账号密码,从而登录后台。
2.使用阿里云的端口安全策略,对80端口,以及443端口进行开放,其余的SSH端口进行IP放行,需要登录服务器的时候进阿里云后台添加放行的IP,尽可能的杜绝服务器被恶意登录。
如果您也遇到服务器被阿里云提示挖矿程序,不妨按上面的做法试试。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
阿里云Kubernetes CSI实践 - 部署详解
本文以阿里云ACK环境为例介绍如何在Kubernetes系统中部署CSI插件; CSI部署拓扑: 分为CSI Provisioner和CSI Plugin两部分: Provisioner:目前只支持云盘,提供云盘数据卷动态创建的功能; Plugin:云盘、NAS、OSS均需实现plugin;云盘实现了attach、mount的功能;NAS、OSS实现mount功能; OSS Plugin是通过fuse驱动实现的文件系统挂载,在为了解决升级问题,通过systemd方案 说明; 环境准备: 需要有Kubernetes集群,可以通过阿里云ACK服务快速创建:使用文档 阿里云CSI插件推荐使用Node Attach方式参考,需要在kubelet中配置下面参数: --enable-controller-attach-detach=false 下载部署模
- 下一篇
阿里云Kubernetes CSI实践 - 静态云盘卷
环境准备 集群创建、依赖配置、CSI插件部署等请参考:CSI部署详解 创建云盘 需要创建按量付费云盘:参考文档 创建静态PV、PVC 通过云盘控制台创建云盘后,记录其DiskId:d-bp1fqy1enb2rtymx5g5y; 通过下面模板创建静态卷PV、PVC: apiVersion: v1 kind: PersistentVolumeClaim metadata: name: disk-pvc spec: accessModes: - ReadWriteOnce resources: requests: storage: 25Gi selector: matchLabels: alicloud-pvname: static-disk-pv --- apiVersion: v1 ki
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- CentOS6,CentOS7官方镜像安装Oracle11G
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- 设置Eclipse缩进为4个空格,增强代码规范
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题