阿里巴巴云ECS服务器植入挖矿木马解决过程分享

目前很多网站都在使用阿里巴巴云ECS服务器，但是如果安全性不够好，有时会被植入木马。比如我们有时会收到阿里云的短信提醒，提醒服务器有挖矿Mine进程，请立即处理安全告警。

出现这种情况时，网站经常无法正常打开，网卡甚至无法访问到服务器的SSH远程连接，给我们造成了很大的影响。

这时候我们需要在云服务器上进行安全测试，登录阿里云控制平台，通过本地远程进入。通常它在 20-35% 之间波动。我们 TOP 来检查进程，跟踪和检查哪些进程正在占用 CPU。通过检查，我们发现有一个进程一直在占用CPU。从上面检测到的问题如何用服务器挖矿，我们可以判断我们的服务器。挖矿程序被植入，服务器被黑，导致阿里云安全警告有挖矿进程。

原来我们的服务器有挖矿木马。我们来看看最上面的流程截图：

我们的占用进程ID有问题，搜索发现该文件在linux系统的tmp目录下。我们强行删除了文件，使用命令强行删除进程。 CPU 立即下降到 10%。挖矿的根源就在这里，那么黑客是如何攻击服务器并植入挖矿木马程序的呢？根据经验判断，我们的网站可能已被篡改。我们需要立即对我们的网站进行全面的安全检查。如何使用dedecms建站系统，开源的php+mysql数据库架构，进行所有代码、图片、数据库。经过安检，果然发现了问题。 webshel​​l木马文件上传到网站根目录。

服务器植入挖矿木马程序的漏洞根源是网站漏洞。我们手动修复了dedecms的代码漏洞，包括代码之前就存在的远程代码执行漏洞，以及sql注入漏洞。均进行了全面漏洞修复，安全部署网站文件夹权限，为我们修改默认dede后台，增加网站后台二级密码保护。

删除木马后门。在服务器的定时任务中，发现了攻击者添加的任务计划。每次服务器重启，每隔1小时自动执行一次挖矿木马，并删除定时任务计划。检查linux系统用户是否和其他root级管理员用户一起添加，发现没有添加。查看服务器的反向链接，包括恶意端口是否有其他IP链接，netstat -an查看所有端口的安全状态，发现没有植入远程木马后门，安全部署了我们的端口安全，使用iptables限制港口的流入和流出。

至此，我们服务器挖矿木马的问题已经彻底解决。关于挖矿木马的防护和解决方法，这里有几点：

1.定期对网站程序代码进行安全检测，检查是否存在webshel​​l后门，定期升级网站系统版本并修复漏洞，对后台登录进行二次密码验证防止网站存在sql注入漏洞，获取管理员账号密码。登录后台。

2.使用阿里云的端口安全策略开放80和443端口如何用服务器挖矿，其余SSH端口通过IP释放。需要登录服务器时，进入阿里云后台添加发布IP，尽量防止服务器被恶意登录。

如果你也遇到阿里云提示服务器挖矿程序，可以试试上面的方法。