臨近2018年底,我們阿里雲上的一台ECS服務器竟然被阿里雲短信提示有挖礦程序,多次收到阿里雲的短信提醒說什么服務器被植入挖礦程序,造成系統資源大量消耗;而且還收到CPU使用率達到百分之90的安全提醒,我們的服務器上並沒有運行大量的網站,只是一個公司的展示網站,怎么可能會出現CPU%90以上的告警,然后致電阿里雲技術幫忙檢查服務器為什么CPU占用這么高,得知服務器被黑,導致中了挖礦木馬,服務器含有挖礦進程,一直在不停的挖礦才導致CPU這么高。
服務器挖礦程序處理過程
首先我們先來了解一下什么是挖礦:
挖礦是跟區塊鏈以及虛擬幣有關系,虛擬幣是挖礦挖出來的,每間隔一段時間,比特幣或者以太坊虛擬幣就會在他們的區塊鏈系統上生成一個塊的隨機代碼,網絡上的所有服務器都可以去找這個隨機代碼,也就是挖礦的過程對這個隨機代碼進行挖掘,誰挖到這個代碼就會產生一個區塊鏈的塊,那么比特幣跟以太坊就會獎勵找到隨機代碼的人,獎勵一定數量的虛擬幣,那么挖礦的人就會有動力去挖礦,去維護整個區塊鏈節點的網絡正常運行,挖礦需要計算哈希值需要服務器的處理能力,所以有些攻擊者利用入侵別人服務器來給自己挖礦,獲取利潤。
知道什么是挖礦,那么我們就要從服務器來入手,我的服務器是阿里雲 linux centos系統,通過執行top命令來查看當前服務器的所有進程,我們來看下圖:
挖礦程序的進程一般都是以一些數字加大小寫字母組合的進程名字,比如:WaKuang,Qw1a,Poa1等等的挖礦進程名字,有的甚至偽裝成正常的進程名來繞過管理員的查殺,最簡單的辦法就是通過TOP命令看當前占用CPU最高的進程來確定。
看到惡意的進程我們來看下進程的程序是在哪里調用的,lsof -p pid執行這個命令,把TOP看到進程PID寫上,比如我的PID是888 那就執行lsof -p 888,我們可以看到調用的程序文件位置在哪里。
如下圖:
從上面的圖片中可以看出,這個進程所使用的文件位置非常的可疑,我們就打開這個目錄地址看下目錄里是否存在惡意的文件,我們通過查看發現果真存在惡意的文件,文件里竟然寫了很多惡意的挖礦程序代碼,我們確定問題后就要刪除這些惡意文件,對該目錄的文件進行強制的刪除,對linux系統自啟動的項目進行刪除,去除挖礦程序的自啟動,清除挖礦木馬,KILL挖礦的進程,至此服務器挖礦程序解決完畢。
挖礦程序刪除的安全建議與處理方法
對服務器的安全要定時的安全檢查,檢查服務器的系統是否有linux定時任務,以及服務器重啟動后會不會自動加載啟動項,對於服務器的連接進行阿里雲安全組策略,對特殊端口進行單獨的放行,比如服務器的SSH端口,管理員要登錄的時候先放行IP,才能登錄到服務器。對服務器的漏洞進行修復,檢查服務器為何被上傳木馬文件,是通過系統漏洞,還是網站漏洞進行的入侵。如果自己對服務器不是太了解的話,可以找專業的網絡安全公司來處理挖礦程序,刪除挖礦木馬,像Sinesafe,綠盟那些專門做網絡安全防護的安全服務商來幫忙。