阿里雲提示發現挖礦程序

① 阿里雲允許用雲主機挖礦嗎

是可以的。很多挖礦項目都可以使用雲伺服器，例如最近火熱的Swarm bzz。但Swarm白皮書沒有提供挖礦的硬體配置推薦，然而目前，因為各類硬體采購價格高、到貨慢，然而時間不等人！綜合對比下來，針對BZZ挖礦，推薦雲伺服器！
像Swarm BZZ這樣的去中心化存儲的情況下，以太坊生態中的熱點數據每秒都在隨時被調用和存儲，所以除了CPU、內存和硬碟這三個主要的響應能力之外，還有一個要求寬頻傳輸速度。
使用雲伺服器來部署bzz節點，核心理由就是一個字「快」，節點早一分鍾上線，就能更早的獲取到頭礦！
經西部數碼上千bzz節點部署的實踐經驗證明，bzz節點需要較高的帶寬和超強的磁碟IO性能，以下是結合資源實際消耗情況合理搭配的配置。
4核CPU + 4G內存 + 100G SSD硬碟 + 20M帶寬。上述配置，可以部署一個節點。
如果需要部署多節點可以選擇多台這樣的雲伺服器，或者選擇更高配置的雲伺服器，如16核CPU + 24G內存 + 500G SSD硬碟 + 200M帶寬，可部署5-10個節點。

② windows伺服器的挖礦進程怎麼關閉刪除

這種病毒騰訊安全提到過
可以去下載安裝一個騰訊御點
打開之後，使用裡面的病毒查殺功能，直接就可以查殺這種電腦病毒了

③ 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。

④ CPU被挖礦排查方案

查看/root/.ssh/authorized_keys

如果有authorized_keys文件中的公鑰請及時清理，或者刪除該文件
當使用rm刪除文件和文件夾的時候提示：rm: 無法刪除"bash": 不允許的操作
解決方法：

2.cpu使用率基本跑滿（用戶態），沒有發現可疑的進程，初步懷疑可能是進程在哪裡隱藏了
可能是起的一個守護進程
執行命令ps -aux --sort=-pcpu|head -10

查看高鏈者dns
果然dns被修改了

發現定時任務被加入了一條
0 */8 * * * root /usr/lib/libiacpkmn

根據定時任務中的可疑文件所在路徑/usr/lib/libiacpkmn
排查中發現/etc/rc.d/init.d/, /usr/bin/存在可執行文件nfstruncate，
在rc0.d-rc6.d目錄下都存在S01nfstruncate文件，可能是自啟動文件
現在排查的很明朗了，接下來著手清理工作

使用top命令觀察佔用cpu程序的PID

通過PID查看該程序所在的目錄：ls /proc/{PID}/
執行ll /proc/{PID}查看該程序運行的目錄

將這些文件的許可權全部修改成000，使這些程序無法繼續執行：chmod 000 -R *

然後kill -9 {PID}

補充：
執行crontab -l 查看是否有可疑計劃任務在執行，如有請及時刪除（crontab -r）
通過上面的排查步驟我們可以看到cron程序是運行在/root/.bashtemp/a目錄下的，但/root/.bashtemp/目錄下還有很多這樣的程序，所以也要執行：chmod 000 -R * 將所有惡意程序戚薯的許可權清除
一般來講通過以上步驟可以將惡意程序幹掉，但喚宏不排除不法分子還留有其他後門程序，為了避免類似情況發生，建議保存重要數據後重裝操作系統,後續請對伺服器做安全加固，以免再次被入侵，比如更改默認遠程埠、配置防火牆規則、設置復雜度較高的密碼等方法

備註：部分可參考 https://zhuanlan.hu.com/p/96601673

⑤ 伺服器被攻擊並植入kdevtmpfsi挖礦/病毒/木馬

MongoDB庫中的數據莫名其妙沒有了，發覺如下信息：

1、 top -d 5命令 ，查看系統負載情況、是否有未知進程，發現一個名為kdevtmpfsi的進程，經科普它是一個挖礦程序，會佔用伺服器高額的CPU、內存資源。如圖，CPU佔用率高達788.7%，而且是yarn用戶下：

2、 ps -ef |grep kdevtmpfsi 命令查看 該挖礦程序路徑：/tmp/kdevtmpfsi

3、 ps -ef |grep yarn 命令查看更多關於yarn相關進程信息（此時我的伺服器並沒有開啟yarn服務，如果有yarn的相關進程則可判斷是攻擊者開啟的進程），發現另外還有個kinsing進程，經科普kinsing進程是kdevtmpfsi的守護進程：

4、 netstat -lntupaa 命令查看是否有異常的ip,果然發現194.87.102.77這個陌生的ip，判斷是kdevtmpfsi的發出者：

5、經查詢該ip的所在國家是俄羅斯：

6、 find / -iname kdevtmpfsi 命令再次確定命令所在位置以便刪除：

7、 cd /tmp 進入相關目錄：

8、 rm -rf kdevtmpfsi 刪除kdevtmpfsi程序：

9、** kill -9 40422**殺掉kdevtmpfsi進程：

10、發現並沒殺掉所有kdevtmpfsi進程，再次查找yarn的相關進程（因為之前已確認病毒是在yarn下），果真還有kdevtmpfsi進程存在：

11、用命令 批量殺掉 相關進程：

12、刪除kinsing文件：

13、現在，已經把挖礦程序及相關進程刪除掉了，但是還有兩處沒做處理：

14、 crontab -l 命令先看看crontab的定時任務列表吧：

15、編寫刪除挖礦程序腳本 kill_kdevtmpfsi.sh ：

16、新增 定時任務 並刪除攻擊者的挖礦定時任務：

17、 crontab -l命令 查看現在只有殺進程的定時任務了：

18、禁止黑客的IP地址。

最初安裝MongoDB時，並未設置密碼認證，存在漏洞，導致黑客通過漏洞攻擊伺服器，並在程序里植入木馬/病毒。單純的kill -9 id殺掉病毒進程是殺不徹底的，治標不治本，應該定時刪除病毒進程，禁止攻擊者IP，重新安裝系統或相關軟體。

經過幾天的觀察，伺服器運行正常，再沒有被黑客攻擊成功。

⑥ 阿里雲windows伺服器中了挖礦的病毒怎麼清理

光刪除沒用的，因為沒有解決好漏洞。
建議是重做系統，然後找護衛神給你做一下系統安全加固，把漏洞徹底堵住才有效果。

⑦ 阿里雲深夜發文說什麼

阿里雲聲明：絕不會提 供「挖礦平台」和虛擬貨幣。

1月17日消息，近日有媒體報道，稱阿里巴巴已上線虛擬貨幣挖礦平台「P2P節點」，指出阿里正在招募礦機入駐。對此，阿里雲1月16日深夜發聲明辟謠，稱該業務與「挖礦平台」、「虛擬貨幣」等毫無關聯。阿里雲強調，絕不會發行任何比特幣之類的虛擬貨幣，也不會提供任何所謂的「挖礦平台」。對於虛假報道，將依法追究法律責任。

我們注意到近日有媒體報道稱阿里巴巴上線挖礦平台P2P節點。經核實，該業務實際上是阿里雲基於P2P技術的CDN（內容分發網路）業務，與「挖礦平台」、「虛擬貨幣」等毫無關聯。

P2P（對等網路）節點是指在CDN行業里常見的用戶共享帶寬加速服務。由用戶通過個人電腦、路由器等設備共享家庭閑置的上行網路帶寬，成為一個微型的CDN分發服務節點，使得其他客戶在下載、直播、游戲等場景時獲得就近加速體驗。

對於用戶授權共享的資源，阿里雲CDN以積分的形式給予獎勵，積分可以在積分類商城裡置換禮品，不具備貨幣功能和炒作價值。

我們再次聲明，阿里雲絕不會發行任何比特幣之類的虛擬貨幣，也不會提供任何所謂的「挖礦平台」。

對於捕風捉影的虛假報道，我們將依法追究法律責任。

阿里雲計算有限公司

2018年1月16日

⑧ 阿里雲允許用雲主機挖礦嗎

VPS提供商一般都不允許雲主機進行挖礦，一旦發現就會被封禁，而且本來就對挖礦進行了限制，本身你就無法使用雲主機進行挖礦，而且性能也達不到挖礦的標准。

⑨ top cpu飆高,中了挖礦程序----解決方法

1.發現cpu異常,查看對應的進程信息

2.查看進程發現是挖礦進程在執行

3.確定是挖礦病毒,查看進程的執行文件鏈接到哪裡,發現是jenkins的工作目錄,最後結果發現是jenkins的漏洞導致自動創建CI計劃,進行啟動挖礦腳本

4.查看虛機密碼是否被破解登錄

5.查找挖礦文件

6.檢查定時任務腳本

jenkins CVE-2018-1999002 漏洞修復: https://paper.seebug.org/648/
jenkings漏洞利用: https://xz.aliyun.com/t/4756
CI安全隱患: https://www.jianshu.com/p/8939aaec5f25
jenkins漏洞描述地址: https://www.cyberark.com/threat-research-blog/tripping-the-jenkins-main-security-circuit-breaker-an-inside-look-at-two-jenkins-security-vulnerabilities/

⑩ 阿里雲ECS伺服器CPU佔用較高時，該如何處理

這種情況可以考慮是被挖礦了，可以找到雲市場雲頂雲尋求幫助，一般這種情況會讓工程師進行排查找出問題所在，然後再進行修理，大概的時間一般是三天以內