前幾天發現服務器報警,cpu使用率已達100%,查資料知道正是最近比較流行的挖礦程序在搗鬼。我們使用的是阿里雲的服務器,操作系統是windows server。網上有大量的資料講如何處理,我把自己處理的思路以及實踐過程和大家分享。
1 關閉危險端口
這一步主要是杜絕重復感染,一般挖礦程序都是利用服務器的端口漏洞,將程序放到了服務器上,關閉端口,防止程序重復放到服務器,這樣我們就可以關起門來收拾服務器上的挖礦程序了。如何關閉139端口及445端口等危險端口。
參考文章:https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html
2 防火牆開放相關端口
這一步開放端口是為了不影響服務器對外提供的服務,比如web服務的80端口,ftp的20端口,數據庫(mysql)的3306,svn的3690等端口,在服務器對外提供服務的時候,會經常用到,需要保持開放狀態,在防火牆里進行設置。
參考資料:https://jingyan.baidu.com/article/09ea3ede7311dec0afde3977.html
3 利用命令行命令查看異常端口情況
這一步就是要找出挖礦程序的所在了。在windows中使用命令行命令查看程序的運行狀態和端口占用情況,在列表中篩查,看哪些程序比較陌生,可以根據進程名稱到網上搜一搜,
如果運行中的程序不是特別多的話,可以很快找到問題進程,找到問題文件,刪除之。
參考資料:
http://www.codeweblog.com/windows-%E4%B8%8B%E6%9F%A5%E7%9C%8B%E7%AB%AF%E5%8F%A3%E5%8D%A0%E7%94%A8%E6%83%85%E5%86%B5-netstat-tasklist-findstr/
主要命令: netstat / tasklist / findstr
這種方法,也有可能刪除的不夠干凈,挖礦程序可能潛伏在某個地方,讓它的變種出現在你的眼前,刪除的可能是變種,過段時間,潛伏的程序又把變種程序生成出來。這時候,就需要用到阿里服務器自帶的安全機制,在系統外部直接查找攔截。這些雲服務商會提供這些服務,杜絕中毒的事情,不過,一般這種服務是要收費的,畢竟大家還是強調安全,能夠保護服務器程序數據安全,花點錢還是值得的。