警惕服务器挖矿病毒,本文教你如何查杀!

2021-06-19 14:17:39

  由于比特币的异常火热,比特币的价格也涨到了接近5美金,巨大的商业价值让很多比特币挖矿者将目光盯向了服务器,而且是别人的服务器,一种特殊的挖矿病毒能让矿工们控制他人的服务器为其牟利,挖矿病毒频发,我们该如何应对?警惕服务器挖矿病毒,本文教你如何查杀!

BZZ挖矿-swarm蜂群节点挖矿,BZZ云节点,BZZ物理矿机,BZZ是Swarm发行的功能性代币

  linux底层和redis漏洞被利用 与云计算系统无关

  国内大批网站被感染挖矿病毒,不少客户网站也被感染,不少阿里云/腾讯云客户都已被感染。

BZZ挖矿-swarm蜂群节点挖矿,BZZ云节点,BZZ物理矿机,BZZ是Swarm发行的功能性代币
BZZ挖矿-swarm蜂群节点挖矿,BZZ云节点,BZZ物理矿机,BZZ是Swarm发行的功能性代币


  感染此病毒,cpu进程会爆满,达到100%,而且居高不下。感染之后,服务器会自动挖矿,并且普通方法删除不掉这种病毒,重启也无法彻底解决。

  最好的办法 建议重装系统

  所有在售后维护期内客户,如发现自己的服务器异常,请及时联系售后,预约重装系统时间。

  如果你使用的是BZZ科技的云服务器,通知售后人员即可。遇到这种意外情况,我们会提醒大家备份数据,并且提供重装系统服务!

  另外我们温馨建议:

  linux 服务器密码设置复杂,避免暴力破解。

  在阿里云/腾讯云 关闭不常用的端口,仅保留需要的80/443 端口,22端口和宝塔端口也仅在需要的时候开启

  定时查看阿里云/腾讯云 安全漏洞日志公告 及时在控制台升级最新系统。

  案例:

  阿里云ECS服务器是目前很多网站客户在使用的,可以使用不同系统在服务器中,windows2008 windows2012,linux系统都可以在阿里云服务器中使用,前段时间我们SINE安全收到客户的安全求助,说是收到阿里云的短信提醒,提醒服务器存在挖矿进程,请立即处理的安全告警。客户网站都无法正常的打开,卡的连服务器SSH远程连接都进不去,给客户造成了很大的影响。

  随即我们SINE安全工程师对客户的服务器进行全面的安全检测,登录阿里云的控制平台,通过本地远程进去,发现客户服务器CPU达到百分之100,查看了服务器的CPU监控记录,平常都是在百分之20-35之间浮动,我们TOP查看进程,追踪查看那些进程在占用CPU,通过检查发现,有个进程一直在占用,从上面检查出来的问题,可以判断客户的服务器被植入了挖矿程序,服务器被黑,导致阿里云安全警告有挖矿进程。

  原来是客户的服务器中了挖矿木马,我们来看下top进程的截图:

BZZ挖矿-swarm蜂群节点挖矿,BZZ云节点,BZZ物理矿机,BZZ是Swarm发行的功能性代币

  我们对占用进程的ID,进行查找,发现该文件是在linux系统的tmp目录下,我们对该文件进行了强制删除,并使用强制删除进程的命令对该进程进行了删除,CPU瞬间降到百分之10,挖矿的根源就在这里,那么黑客是如何攻击服务器,植入挖矿木马程序的呢?

  通过我们SINE安全多年的安全经验判断,客户的网站可能被篡改了,我们立即展开对客户网站的全面安全检测,客户使用的是dedecms建站系统,开源的php+mysql数据库架构,对所有的代码以及图片,数据库进行了安全检测,果不其然发现了问题,网站的根目录下被上传了webshell木马文件,咨询了客户,客户说之前还收到过阿里云的webshell后门提醒,当时客户并没在意。

  这次服务器被植入挖矿木马程序的漏洞根源就是网站存在漏洞,我们对dedecms的代码漏洞进行了人工修复,包括代码之前存在的远程代码执行漏洞,以及sql注入漏洞都进行了全面的漏洞修复,对网站的文件夹权限进行了安全部署,默认的dede后台帮客户做了修改,以及增加网站后台的二级密码防护。

  清除木马后门,对服务器的定时任务里,发现了攻击者添加的任务计划,每次服务器重启以及间隔1小时,自动执行挖矿木马,对该定时任务计划进行删除,检查了linux系统用户,是否被添加其他的root级别的管理员用户,发现没有添加。对服务器的反向链接进行查看,包括恶意的端口有无其他IP链接,netstat -an检查了所有端口的安全状况,发现没有植入远程木马后门,对客户的端口安全进行了安全部署,使用iptables来限制端口的流入与流出。

  至此客户服务器中挖矿木马的问题才得以彻底的解决,关于挖矿木马的防护与解决办法,总结一下几点:

  定期的对网站程序代码进行安全检测,检查是否有webshell后门,对网站的系统版本定期的升级与漏洞修复,网站的后台登录进行二次密码验证,防止网站存在sql注入漏洞,被获取管理员账号密码,从而登录后台。

  使用阿里云的端口安全策略,对80端口,以及443端口进行开放,其余的SSH端口进行IP放行,需要登录服务器的时候进阿里云后台添加放行的IP,尽可能的杜绝服务器被恶意登录,如果您也遇到服务器被阿里云提示挖矿程序,可以找专业的服务器安全公司来处理。

  控制他人服务器挖矿是违法行为,情节严重的会承担刑罚,如果您想使用服务器挖矿,建议选择正规的服务器挖矿。

  联系客服fil16888,官网:www.fjddc.cn。

首页
产品
新闻
联系