长亭百川云 - 文章详情

处理阿里云服务器中的恶意挖矿程序

二河小鱼

54

2024-06-24

恶意挖矿程序会在未经用户许可的情况下在用户的设备上运行,占用大量计算资源进行挖矿,这可能会导致设备性能下降、温度升高、甚至硬件损伤。因此,用户应当做到以下措施来尽可能地预防挖矿:

及时更新系统和应用程序的安全补丁;

安装安全软件;

加强用户权限管理;

提升防火墙的安全级别,关闭不需要的服务端口;

监控服务器日志等。

检测恶意挖矿程序是否存在

第一步,通过查看服务器进程来判断是否存在恶意挖矿程序。

# 列出所有正在运行的进程

命令:top

或    top -c

第二步,通过点击“shift+M”,按照内存大小排序;点击“shift+P”,按照CPU大小排序。

若top进程没被篡改,则能很快定位到是哪个进程占用CPU,可以得到对应的[COMMAND]和PID。

第三步,若在top里面找不到占用CPU的进程,则说明top进程被篡改了。然后可以在系统上安装htop,利用htop命令查看。

命令:yum install epel-release

yum install htop

htop

停止运行恶意挖矿程序

第一步,利用ps命令把恶意挖矿程序的PID拿出来,并杀死进程。

命令:ps -ef | grep [COMMAND]

kill -9 [PID]

若把进程杀死后,进程马上又重启了,则说明系统挂了一个定时脚本。

若把进程杀死后,进程马上又重启了,但是top和htop都无法看到,则可以运行命令“rm -rf /etc/ld.so.preload”来使进程在top里面显示。

第二步,检查定时任务配置文件。

命令:ls -lrt -d /etc/cron*

发现在定时任务里面挂了一个每分钟执行的定时脚本。

第三步,把定时任务去掉。

命令:crontab -l

在代码前加“#”注释,保存。

第四步,通过systemctl查找进程。

命令:systemctl is-enabled crond.service

systemctl status [PID]

若结果显示“Active: active (running)”和恶意挖矿程序名称,则说明成功。

删除恶意挖矿程序文件

第一步,杀死进程并删除恶意挖矿程序文件。

命令:kill -9 [PID]

rm -rf [文件路径]

注意:[文件路径]是恶意挖矿程序所在的文件路径。

第二步,清理恶意挖矿程序的启动项。

命令:sed -i '/[恶意挖矿程序名称]/d' /etc/rc.local

加强服务器的安全性

为了防止恶意挖矿程序再次被安装和运行,可以采取以下措施加强服务器的安全性:

第一步,及时更新系统和应用程序的安全补丁。

及时更新操作系统和应用程序的安全补丁,确保系统和应用程序始终处于最新的安全状态。

第二步,安装安全软件。

安装杀毒软件、入侵检测软件等安全软件,及时检测和阻止恶意程序。

第三步,加强用户权限管理。

使用强密码,并且定期更换密码。限制外部访问,禁用不必要的服务,只授予必要的权限给用户,避免不必要的风险。

第四步,提升防火墙的安全级别,关闭不需要的服务端口。

使用防火墙来限制网络访问,只允许必要的端口和服务对外开放。

第五步,监控服务器日志。

定期检查服务器的登录日志、系统日志等,以发现异常活动和入侵行为。

注意:在处理阿里云服务器中的恶意挖矿程序时,确保具有管理员权限并且了解清楚操作的风险。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2