前两周,忽然收到阿里短信通知云服务器有挖矿嫌疑,,,于是开始排查,虽然最后找到了病毒源文件并删除了,,,但是最后为了保险起见,,还是对云盘进行了初始化操作,,,在此特意记录一下排查的流程:
1. 查看进程:
top -c
一般中了挖矿,服务器的cpu都会被干爆100%,,但我这次中的这个藏得有点深,,,top查看进程都正常,没有可疑进程,,但cpu消耗确实有100%
2. 检查端口状态:
netstat -aulntp
我是在这一步才发现了一个异常的tcp连接,,显示这个tcp连接源在一个不明的外部ip
3. 查看进程号的执行源文件:
proc/pid号/exe
4. 杀死该进程,并删除源文件:
kill -9 pid号 rm -rf 源文件名
5. 检查定时任务:
crontab -l cat /etc/crontab
6. 检查开机启动项
ll /etc/init.d/ cat /etc/rc.d/rc.local
有的挖矿还会恶意修改系统命令,,比如curl, wget命令等,,,所以一旦中了挖矿病毒,,还是建议云盘初始化比较彻底解决!!
另附一些阿里云官方的服务器安全维护建议:
对于系统安全也建议日常做好防护措施:服务器安全防护的一些建议: ①设置好ECS安全组,例如只允许指定的IP地址进行3389(远程桌面)、22(SSH)登录,避免服务器管理端口被黑客扫描或爆破。 ②在ECS安全组中,只放行必要的业务端口(比如80、443),其他无关端口不要放行。 ③服务器密码设置复杂点,不要过于太简单。 ④应用软件要经常升级到新版本,不要用老版本的软件。 ⑤定期对重要服务器做磁盘快照。这样当出现数据丢失、误删数据、数据被黑客篡改(比如勒索病毒)等意外事件时,可以通过磁盘快照回滚恢复您的数据。 ⑥根据云安全中心(登录地址 https://yundun.console.aliyun.com/)提示,及时修补高危漏洞(注意:修补前先做快照备份,避免修补漏洞后意外发生)。 ⑦更多安全防护建议,请您查看文档 https://help.aliyun.com/knowledge_list/60787.html