阿里雲伺服器中挖礦病毒

『壹』 發個帖求助下，阿里雲伺服器被勒索

是攻擊還是入侵呢？攻擊可以用阿里雲的CDN，入侵可以找護衛神。

『貳』 阿里雲windows伺服器如何去除挖礦病毒

找到進程，然後找到他文件路徑，幹掉進程，刪掉文件。
另外找找其他可疑進程，避免病毒有守護進程或者其他隱藏進程

『叄』 伺服器上如何清除NrsMiner挖礦病毒

挖礦病毒完整清除過程如下，請在斷網情況下進行：

1.停止並禁用Hyper-VAccess Protection Agent Service服務；

2.刪除C:Windowssystem32NrsDataCache.tlb；

3.刪除C:.dll，若刪除失敗，可重命名該文件為其他名稱；

4.重啟計算機；

5.刪除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目錄；

6.刪除C:Windowssystem32SecUpdateHost.exe。

7.到微軟官方網站下載對應操作系統補丁，下載鏈接如下：https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

8.安裝國內主流殺毒軟體，及時更新至最新病毒特徵庫。

『肆』 阿里雲伺服器太不安全了，老是被攻擊，工作人員就負責把伺服器給我關了

阿里雲提供基礎設施服務，按需取用伺服器資源，但是安全防禦企業自身也一定要重視起來，不要以為上雲了之後就絕對安全了，阿里雲提供最高5g的免費防禦ddos流量攻擊，如果安全策略做得更高則需要購買高防ip。
你這個情況應該是受到攻擊並沒有更好的安全措施，當攻擊達到一定程度，工作人員會將其關閉，以防遭受到更大的損失。

『伍』 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。

『陸』 阿里雲windows伺服器中了挖礦的病毒怎麼清理

光刪除沒用的，因為沒有解決好漏洞。
建議是重做系統，然後找護衛神給你做一下系統安全加固，把漏洞徹底堵住才有效果。

『柒』 win2008伺服器中了挖礦病毒，求解答！

不能完全殺干凈的前提下，備份好自己的數據，然後重裝系統，不然這樣耽誤工作真的很麻煩

『捌』 阿里雲伺服器中了xtbl病毒，文件數據被加密了，求高手幫忙一下

這種敲詐病毒，基本上沒辦法恢復的，如果能恢復，通常的成本都大於數據本身了。

『玖』 阿里雲伺服器檢測說有木馬，但具體是不是真的，請賜教。

看上去像是，因為我觀察到伺服器中木馬的一種同樣的現象，就是偽裝成所謂的正常文件來欺騙過用戶的眼睛。（例如圖中的 /etc/init.d/selinux這種與伺服器日常運行穩定不太相關的東西是被替換的高發文件）
同樣，圖中下面提到的/usr/bin/bsd-port 也並不是linux本來就有的東西（如果你沒有安裝過），這的確可疑。
趕緊上伺服器刪文件去吧，這確實是中木馬了。