记录解决阿里云ES服务器提示挖矿程序

前言

突然收到阿里云的短信提醒，说服务器出现了恶意挖矿程序，还好这台上都是测试服务器，之前也做了数据备份，可以放心去整，不过还是得小心严重操作前记得备份下

处理过程 1、检查服务器负载与CPU利用率，确定挖矿程序进程

ll /proc/进程ID

kill -9 1459261

杀死进程后 ，top 命令查看CPU也降下来恢复正常了

2、检查您服务器的防火墙中是否存在挖矿程序地址并清除恶意地址

 iptables -L -n

3、查看端口安全状况是否异常

netstat -aulntp

开始疑惑这个IP的 133.11.244.74是啥，查询后是自己的公网ip

查看自己公网IP国内网站：

4、检查服务器的定时任务里是否有攻击者添加的定时任务,对可疑的定时任务文件进行处理，防止二次入侵

crontab -l

及

cat /etc/crontab

5、检查服务器启动项是否有可疑程序确保服务器重启后不会有问题

cd  /etc/init.d

cat  /etc/rc.d/rc.local

6、检查了linux系统用户是否被添加其他的root级别的管理员用户

cat /etc/passwd  #用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell

7、检查服务器root是否开启远程权限，生产环境的服务器应该设置 no

cat /etc/ssh/sshd_config

8、检查SSH公钥中是否存在挖矿病毒，防止出现持续后门

cat /root/.ssh/authorized_keys

9、阿里云服务器安全组配置的端口安全策略，对80端口，以及443端口进行开放，其余的SSH端口进行IP放行，需要登录服务器的时候进阿里云后台添加放行的IP，尽可能的杜绝服务器被恶意登录

10、定期的对服务器进行安全检测是否存在挖矿行为，检查是否有后门，对系统版本定期的升级与漏洞修复，系统的后台登录进行二次密码验证，防止系统存在sql注入漏洞。防止挖矿病毒重复感染内网中的其他服务器

也可参考阿里云的挖矿程序实践文档：

结语

本次挖矿程序删了挖矿程序执行文件，强制杀死了挖矿进程，定时任务、启动项等其他项并没发现啥可疑，可能是这个黑客人好吧。。。。。。 总归来说服务安全防范要做好防止服务器恶意攻击， 最后希望参考该文章对您有所帮助！