阿里云ECS服務(wù)器是目前很多網(wǎng)站客戶在使用的最新，可以使用不同系統(tǒng)在服務(wù)器中，windows2008windows2021,linux系統(tǒng)都可以在阿里云服務(wù)器中使用處理方法，前段時間我們SINE安全收到客戶的安全求助重要作用，說是收到阿里云的短信提醒，提醒服務(wù)器存在挖礦進程活動上，請立即處理的安全告警有望。客戶網(wǎng)站都無法正常的打開導向作用，卡的連服務(wù)器SSH遠程連接都進不去顯示，給客戶造成了很大的影響。

隨即我們SINE安全工程師對客戶的服務(wù)器進行全面的安全檢測真正做到，登錄阿里云的控制平臺科普活動，通過本地遠程進去，發(fā)現(xiàn)客戶服務(wù)器CPU達到百分之100強化意識，查看了服務(wù)器的CPU監(jiān)控記錄長期間，平常都是在百分之20-35之間浮動，我們TOP查看進程現場，追蹤查看那些進程在占用CPU高端化，通過檢查發(fā)現(xiàn)，有個進程一直在占用我有所應，從上面檢查出來的問題提單產，可以判定客戶的服務(wù)器被植入了挖礦程序，服務(wù)器被黑至關重要，導(dǎo)致阿里云安全警告有挖礦進程發展空間。

原來是客戶的服務(wù)器中了挖礦木馬，我們來看下top進程的截圖：

我們對占用進程的ID有所應，進行查找足了準備，發(fā)現(xiàn)該文件是在linux系統(tǒng)的tmp目錄下，我們對該文件進行了強制刪除著力提升，并使用強制刪除進程的命令對該進程進行了刪除深刻內涵，CPU瞬間降到百分之10，挖礦的根源就在這里重要意義，那么黑客是如何攻擊服務(wù)器交流等，植入挖礦木馬程序的呢？通過我們SINE安全多年的安全經(jīng)驗判定規劃，客戶的網(wǎng)站可能被篡改了，我們立即展開對客戶網(wǎng)站的全面安全檢測，客戶使用的是dedecms建站系統(tǒng)進入當下，開源的php+mysql數(shù)據(jù)庫架構(gòu)紮實，對所有的代碼以及圖片，數(shù)據(jù)庫進行了安全檢測新體系，果不其然發(fā)現(xiàn)了問題投入力度，網(wǎng)站的根目錄下被上傳了webshell木馬文件，咨詢了客戶尤為突出，客戶說之前還收到過阿里云的webshell后門提醒規定，當(dāng)時客戶并沒在意。

這次服務(wù)器被植入挖礦木馬程序的漏洞根源就是網(wǎng)站存在漏洞空間載體，我們對dedecms的代碼漏洞進行了人工修復(fù)高質量，包括代碼之前存在的遠程代碼執(zhí)行漏洞，以及sql注入漏洞都進行了全面的漏洞修復(fù)重要組成部分，對網(wǎng)站的文件夾權(quán)限進行了安全部署流程，默認(rèn)的dede后臺幫客戶做了修改，以及增加網(wǎng)站后臺的二級密碼防護勃勃生機。

清除木馬后門助力各業，對服務(wù)器的定時任務(wù)里，發(fā)現(xiàn)了攻擊者添加的任務(wù)計劃提供有力支撐，每次服務(wù)器重啟以及間隔1小時應用，自動執(zhí)行挖礦木馬，對該定時任務(wù)計劃進行刪除品率，檢查了linux系統(tǒng)用戶相貫通，是否被添加其他的root級別的治理員用戶，發(fā)現(xiàn)沒有添加技術發展。對服務(wù)器的反向鏈接進行查看集聚效應，包括惡意的端口有無其他IP鏈接，netstat-an檢查了所有端口的安全狀況重要手段，發(fā)現(xiàn)沒有植入遠程木馬后門互動講，對客戶的端口安全進行了安全部署，使用iptables來限制端口的流入與流出像一棵樹。

至此客戶服務(wù)器中挖礦木馬的問題才得以徹底的解決過程中，關(guān)于挖礦木馬的防護與解決辦法，總結(jié)一下

幾點：

定期的對網(wǎng)站程序代碼進行安全檢測能運用，檢查是否有webshell后門達到，對網(wǎng)站的系統(tǒng)版本定期的升級與漏洞修復(fù)，網(wǎng)站的后臺登錄進行二次密碼驗證不可缺少，防止網(wǎng)站存在sql注入漏洞蓬勃發展，被獲取治理員賬號密碼特點，從而登錄后臺。使用阿里云的端口安全策略重要性，對80端口又進了一步，以及443端口進行開放，其余的SSH端口進行IP放行聽得進，需要登錄服務(wù)器的時候進阿里云后臺添加放行的IP新的力量，盡可能的杜絕服務(wù)器被惡意登錄，假如您也碰到服務(wù)器被阿里云提示挖礦程序便利性，可以找專業(yè)的服務(wù)器安全公司來處理全面展示，國內(nèi)也就SINESAFE,綠盟，啟明星辰深刻認識，等安全公司比較不錯核心技術，也希望我們解決問題的過程，能夠幫到更多的人高效。