恶意挖矿程序会在未经用户许可的情况下在用户的设备上运行,占用大量计算资源进行挖矿,这可能会导致设备性能下降、温度升高、甚至硬件损伤。因此,用户应当做到以下措施来尽可能地预防挖矿:
及时更新系统和应用程序的安全补丁;
安装安全软件;
加强用户权限管理;
提升防火墙的安全级别,关闭不需要的服务端口;
监控服务器日志等。
检测恶意挖矿程序是否存在
第一步,通过查看服务器进程来判断是否存在恶意挖矿程序。
# 列出所有正在运行的进程
命令:top
或 top -c
第二步,通过点击“shift+M”,按照内存大小排序;点击“shift+P”,按照CPU大小排序。
若top进程没被篡改,则能很快定位到是哪个进程占用CPU,可以得到对应的[COMMAND]和PID。
第三步,若在top里面找不到占用CPU的进程,则说明top进程被篡改了。然后可以在系统上安装htop,利用htop命令查看。
命令:yum install epel-release
yum install htop
htop
停止运行恶意挖矿程序
第一步,利用ps命令把恶意挖矿程序的PID拿出来,并杀死进程。
命令:ps -ef | grep [COMMAND]
kill -9 [PID]
若把进程杀死后,进程马上又重启了,则说明系统挂了一个定时脚本。
若把进程杀死后,进程马上又重启了,但是top和htop都无法看到,则可以运行命令“rm -rf /etc/ld.so.preload”来使进程在top里面显示。
第二步,检查定时任务配置文件。
命令:ls -lrt -d /etc/cron*
发现在定时任务里面挂了一个每分钟执行的定时脚本。
第三步,把定时任务去掉。
命令:crontab -l
在代码前加“#”注释,保存。
第四步,通过systemctl查找进程。
命令:systemctl is-enabled crond.service
systemctl status [PID]
若结果显示“Active: active (running)”和恶意挖矿程序名称,则说明成功。
删除恶意挖矿程序文件
第一步,杀死进程并删除恶意挖矿程序文件。
命令:kill -9 [PID]
rm -rf [文件路径]
注意:[文件路径]是恶意挖矿程序所在的文件路径。
第二步,清理恶意挖矿程序的启动项。
命令:sed -i '/[恶意挖矿程序名称]/d' /etc/rc.local
加强服务器的安全性
为了防止恶意挖矿程序再次被安装和运行,可以采取以下措施加强服务器的安全性:
第一步,及时更新系统和应用程序的安全补丁。
及时更新操作系统和应用程序的安全补丁,确保系统和应用程序始终处于最新的安全状态。
第二步,安装安全软件。
安装杀毒软件、入侵检测软件等安全软件,及时检测和阻止恶意程序。
第三步,加强用户权限管理。
使用强密码,并且定期更换密码。限制外部访问,禁用不必要的服务,只授予必要的权限给用户,避免不必要的风险。
第四步,提升防火墙的安全级别,关闭不需要的服务端口。
使用防火墙来限制网络访问,只允许必要的端口和服务对外开放。
第五步,监控服务器日志。
定期检查服务器的登录日志、系统日志等,以发现异常活动和入侵行为。
注意:在处理阿里云服务器中的恶意挖矿程序时,确保具有管理员权限并且了解清楚操作的风险。