阿里云提示服务器有挖矿程序怎么办.doc

接近2018年底，我们阿里云上的一台ECS服务器被阿里云短信提示有挖矿程序，我们收到很多阿里云的短信提醒说服务器植入了挖矿程序，导致大量消耗系统资源；并且我还收到了一个安全警报，CPU 使用率已达到 90%。我们的服务器并没有运行大量的网站，它只是一个公司的展示网站。怎么会出现cpu%在90%以上的alert，然后打电话给阿里云求助查看服务器CPU占用率为什么这么高，知道服务器被黑了，导致挖矿木马。服务器包含一个挖矿进程，由于不停的挖矿，CPU一直很高。服务器挖矿程序处理流程首先我们先了解一下什么是挖矿：挖矿与区块链和虚拟币有关云服务器比特币挖矿流程，虚拟币是通过挖矿来挖矿的，每一个时间间隔，比特币或以太坊虚拟币币都会在自己的区块链系统上生成一个区块的随机码，网络上的所有服务器都能找到这个随机码，即挖矿过程对这个随机码进行挖矿，谁挖出这个码，就会产生区块链的一个区块，然后比特币和以太坊会奖励找到随机码的人，奖励一定数量的虚拟币，然后挖矿人会有挖矿的动力，维护整个区块链节点的网络正常运行，挖矿需要服务器的处理能力来计算哈希值。因此，一些攻击者利用他人服务器的入侵为自己挖矿，获取利润。如果你知道什么是挖矿，那么我们就得从服务器开始。我的服务器是阿里云linuxcentos系统。执行top命令可以查看当前服务器的所有进程。以数字和大小写字母组合的进程名，如：WaKuang、Qw1a、Poa1等挖掘进程名，有的甚至伪装成普通进程名绕过管理员查杀，最简单的方法是使用TOP命令查看当前占用CPU最高的进程来确定。当我们看到一个恶意进程时，我们看看该进程的程序是在哪里调用的。lsof-ppid 执行此命令，并写入 TOP 看到的进程的 PID。比如我的PID是888，那么执行lsof-p888，就可以看到调用程序文件在哪里。如下所示：从上图可以看出，这个进程使用的文件位置非常可疑。我们会打开这个目录地址云服务器比特币挖矿流程，看看目录中是否有恶意文件。我们通过检查发现确实存在恶意文件，