前两周,忽然收到阿里短信通知云服务器有挖矿嫌疑,,,于是开始排查,虽然最后找到了病毒源文件并删除了,,,但是最后为了保险起见,,还是对云盘进行了初始化操作,,,在此特意记录一下排查的流程:

1. 查看进程:

top -c

一般中了挖矿,服务器的cpu都会被干爆100%,,但我这次中的这个藏得有点深,,,top查看进程都正常,没有可疑进程,,但cpu消耗确实有100%

2. 检查端口状态:

netstat -aulntp

我是在这一步才发现了一个异常的tcp连接,,显示这个tcp连接源在一个不明的外部ip

3. 查看进程号的执行源文件:

proc/pid号/exe

4. 杀死该进程,并删除源文件:

kill -9 pid号
rm -rf 源文件名

5. 检查定时任务:

crontab -l
cat /etc/crontab

6. 检查开机启动项

ll /etc/init.d/
cat /etc/rc.d/rc.local

有的挖矿还会恶意修改系统命令,,比如curl, wget命令等,,,所以一旦中了挖矿病毒,,还是建议云盘初始化比较彻底解决!!

另附一些阿里云官方的服务器安全维护建议:

对于系统安全也建议日常做好防护措施：服务器安全防护的一些建议：
①设置好ECS安全组，例如只允许指定的IP地址进行3389（远程桌面）、22（SSH）登录，避免服务器管理端口被黑客扫描或爆破。
②在ECS安全组中，只放行必要的业务端口（比如80、443），其他无关端口不要放行。
③服务器密码设置复杂点，不要过于太简单。
④应用软件要经常升级到新版本，不要用老版本的软件。
⑤定期对重要服务器做磁盘快照。这样当出现数据丢失、误删数据、数据被黑客篡改(比如勒索病毒)等意外事件时，可以通过磁盘快照回滚恢复您的数据。
⑥根据云安全中心（登录地址 https://yundun.console.aliyun.com/）提示，及时修补高危漏洞（注意：修补前先做快照备份，避免修补漏洞后意外发生）。
⑦更多安全防护建议，请您查看文档 https://help.aliyun.com/knowledge_list/60787.html