阿里云提示服务器有挖矿程序怎么办

阿里云提示服务器有挖矿程序怎么办

2018年底云服务器比特币挖矿流程，我们在阿里云上的一台ECS服务器被阿里云短信提示有挖矿程序。云端短信提醒，服务器植入挖矿程序，导致系统资源消耗大；并且还收到了安全提醒，CPU使用率达到90%，我们的服务器没有运行大量的网站，只是一个公司的显示网站上怎么会出现CPU%在90以上的警报？？然后我打电话给阿里云技术帮忙查了一下为什么服务器的CPU使用率这么高。我得知服务器被黑了，导致了挖矿木马。服务器包含一个挖矿进程，一直在运行不间断挖矿导致CPU太高。

服务器挖矿程序处理流程

首先，让我们了解一下什么是挖矿：

挖矿与区块链和虚拟货币有关。虚拟货币是通过挖矿挖出来的。每隔一段时间，比特币或以太坊虚拟货币会在其区块链系统上生成一个区块的随机代码。 ，网络上的所有服务器都能找到这个随机码，即挖矿过程挖掘这个随机码，谁挖出这个码就会产生区块链的一个区块，然后比特币和以太坊会奖励找到这个随机码的人并奖励一定数量的虚拟币，那么矿工就有挖矿的动力，维持整个区块链节点网络的正常运行，挖矿需要哈希值的计算和服务器的处理，所以一些攻击者利用入侵其他人的服务器为自己挖掘并获得利润。

如果您知道什么是挖矿，那么我们必须从服务器开始。我的服务器是阿里云linux centos系统。执行top命令可以查看当前服务器的所有进程。我们来看下图：

挖矿程序的进程一般是由一些数字和大小写字母组合而成的进程名，如：WaKuang、Qw1a、Poa1等挖矿进程的名称，有的甚至伪装成正常进程名称绕过管理员查杀，最简单的方法是使用TOP命令查看当前占用CPU最高的进程来判断。

看到恶意进程，我们来看看该进程的程序是在哪里调用的。 lsof -p pid 执行此命令并查看 TOP 进程。写PID。比如我的PID是888，那么执行lsof -p 888，就可以看到被调用的程序文件在哪里。

如下图：

从上图可以看出，这个进程使用的文件位置很可疑，我们只要打开这个目录地址，看看目录中是否有恶意文件。我们通过检查发现确实存在恶意文件，并且文件中写入了大量的恶意挖矿程序代码。我们确定问题后云服务器比特币挖矿流程，将这些恶意文件删除，对强制删除该目录下的文件，删除linux系统的自启动项目，移除挖矿程序的自启动，清除挖矿木马，杀掉采矿过程。至此，服务器挖矿程序已经解决。

删除挖矿程序的安全建议及处理方法

要定期检查服务器的安全性，检查服务器系统是否有linux定时任务，重启后服务器会重启。启动项不会自动加载。与服务器的连接，使用阿里云安全组策略，单独的特殊端口，如服务器的SSH端口。当管理员要登录时，必须先释放IP，然后才能登录服务器。修复服务器漏洞，查看服务器上传木马文件的原因，是否通过系统漏洞或网站漏洞入侵。如果对服务器不是很了解，可以找专业的网络安全公司处理挖矿程序，删除挖矿木马。 Sinesafe 和 NSFOCUS 等专门从事网络安全保护的安全服务提供商可以提供帮助。