阿里云提示发现挖矿程序

① 阿里云允许用云主机挖矿吗

是可以的。很多挖矿项目都可以使用云服务器，例如最近火热的Swarm bzz。但Swarm白皮书没有提供挖矿的硬件配置推荐，然而目前，因为各类硬件采购价格高、到货慢，然而时间不等人！综合对比下来，针对BZZ挖矿，推荐云服务器！
像Swarm BZZ这样的去中心化存储的情况下，以太坊生态中的热点数据每秒都在随时被调用和存储，所以除了CPU、内存和硬盘这三个主要的响应能力之外，还有一个要求宽带传输速度。
使用云服务器来部署bzz节点，核心理由就是一个字“快”，节点早一分钟上线，就能更早的获取到头矿！
经西部数码上千bzz节点部署的实践经验证明，bzz节点需要较高的带宽和超强的磁盘IO性能，以下是结合资源实际消耗情况合理搭配的配置。
4核CPU + 4G内存 + 100G SSD硬盘 + 20M带宽。上述配置，可以部署一个节点。
如果需要部署多节点可以选择多台这样的云服务器，或者选择更高配置的云服务器，如16核CPU + 24G内存 + 500G SSD硬盘 + 200M带宽，可部署5-10个节点。

② windows服务器的挖矿进程怎么关闭删除

这种病毒腾讯安全提到过
可以去下载安装一个腾讯御点
打开之后，使用里面的病毒查杀功能，直接就可以查杀这种电脑病毒了

③ 求助服务器被挖矿程序入侵，如何排查

新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接

服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般

会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这

就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客

户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，

仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查

当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病

毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，

客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击

状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开

发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重

的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，

SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器

一切稳定运行，网站打开正常。

④ CPU被挖矿排查方案

查看/root/.ssh/authorized_keys

如果有authorized_keys文件中的公钥请及时清理，或者删除该文件
当使用rm删除文件和文件夹的时候提示：rm: 无法删除"bash": 不允许的操作
解决方法：

2.cpu使用率基本跑满（用户态），没有发现可疑的进程，初步怀疑可能是进程在哪里隐藏了
可能是起的一个守护进程
执行命令ps -aux --sort=-pcpu|head -10

查看高链者dns
果然dns被修改了

发现定时任务被加入了一条
0 */8 * * * root /usr/lib/libiacpkmn

根据定时任务中的可疑文件所在路径/usr/lib/libiacpkmn
排查中发现/etc/rc.d/init.d/, /usr/bin/存在可执行文件nfstruncate，
在rc0.d-rc6.d目录下都存在S01nfstruncate文件，可能是自启动文件
现在排查的很明朗了，接下来着手清理工作

使用top命令观察占用cpu程序的PID

通过PID查看该程序所在的目录：ls /proc/{PID}/
执行ll /proc/{PID}查看该程序运行的目录

将这些文件的权限全部修改成000，使这些程序无法继续执行：chmod 000 -R *

然后kill -9 {PID}

补充：
执行crontab -l 查看是否有可疑计划任务在执行，如有请及时删除（crontab -r）
通过上面的排查步骤我们可以看到cron程序是运行在/root/.bashtemp/a目录下的，但/root/.bashtemp/目录下还有很多这样的程序，所以也要执行：chmod 000 -R * 将所有恶意程序戚薯的权限清除
一般来讲通过以上步骤可以将恶意程序干掉，但唤宏不排除不法分子还留有其他后门程序，为了避免类似情况发生，建议保存重要数据后重装操作系统,后续请对服务器做安全加固，以免再次被入侵，比如更改默认远程端口、配置防火墙规则、设置复杂度较高的密码等方法

备注：部分可参考 https://zhuanlan.hu.com/p/96601673

⑤ 服务器被攻击并植入kdevtmpfsi挖矿/病毒/木马

MongoDB库中的数据莫名其妙没有了，发觉如下信息：

1、 top -d 5命令 ，查看系统负载情况、是否有未知进程，发现一个名为kdevtmpfsi的进程，经科普它是一个挖矿程序，会占用服务器高额的CPU、内存资源。如图，CPU占用率高达788.7%，而且是yarn用户下：

2、 ps -ef |grep kdevtmpfsi 命令查看 该挖矿程序路径：/tmp/kdevtmpfsi

3、 ps -ef |grep yarn 命令查看更多关于yarn相关进程信息（此时我的服务器并没有开启yarn服务，如果有yarn的相关进程则可判断是攻击者开启的进程），发现另外还有个kinsing进程，经科普kinsing进程是kdevtmpfsi的守护进程：

4、 netstat -lntupaa 命令查看是否有异常的ip,果然发现194.87.102.77这个陌生的ip，判断是kdevtmpfsi的发出者：

5、经查询该ip的所在国家是俄罗斯：

6、 find / -iname kdevtmpfsi 命令再次确定命令所在位置以便删除：

7、 cd /tmp 进入相关目录：

8、 rm -rf kdevtmpfsi 删除kdevtmpfsi程序：

9、** kill -9 40422**杀掉kdevtmpfsi进程：

10、发现并没杀掉所有kdevtmpfsi进程，再次查找yarn的相关进程（因为之前已确认病毒是在yarn下），果真还有kdevtmpfsi进程存在：

11、用命令 批量杀掉 相关进程：

12、删除kinsing文件：

13、现在，已经把挖矿程序及相关进程删除掉了，但是还有两处没做处理：

14、 crontab -l 命令先看看crontab的定时任务列表吧：

15、编写删除挖矿程序脚本 kill_kdevtmpfsi.sh ：

16、新增 定时任务 并删除攻击者的挖矿定时任务：

17、 crontab -l命令 查看现在只有杀进程的定时任务了：

18、禁止黑客的IP地址。

最初安装MongoDB时，并未设置密码认证，存在漏洞，导致黑客通过漏洞攻击服务器，并在程序里植入木马/病毒。单纯的kill -9 id杀掉病毒进程是杀不彻底的，治标不治本，应该定时删除病毒进程，禁止攻击者IP，重新安装系统或相关软件。

经过几天的观察，服务器运行正常，再没有被黑客攻击成功。

⑥ 阿里云windows服务器中了挖矿的病毒怎么清理

光删除没用的，因为没有解决好漏洞。
建议是重做系统，然后找护卫神给你做一下系统安全加固，把漏洞彻底堵住才有效果。

⑦ 阿里云深夜发文说什么

阿里云声明：绝不会提 供“挖矿平台”和虚拟货币。

1月17日消息，近日有媒体报道，称阿里巴巴已上线虚拟货币挖矿平台“P2P节点”，指出阿里正在招募矿机入驻。对此，阿里云1月16日深夜发声明辟谣，称该业务与“挖矿平台”、“虚拟货币”等毫无关联。阿里云强调，绝不会发行任何比特币之类的虚拟货币，也不会提供任何所谓的“挖矿平台”。对于虚假报道，将依法追究法律责任。

我们注意到近日有媒体报道称阿里巴巴上线挖矿平台P2P节点。经核实，该业务实际上是阿里云基于P2P技术的CDN（内容分发网络）业务，与“挖矿平台”、“虚拟货币”等毫无关联。

P2P（对等网络）节点是指在CDN行业里常见的用户共享带宽加速服务。由用户通过个人电脑、路由器等设备共享家庭闲置的上行网络带宽，成为一个微型的CDN分发服务节点，使得其他客户在下载、直播、游戏等场景时获得就近加速体验。

对于用户授权共享的资源，阿里云CDN以积分的形式给予奖励，积分可以在积分类商城里置换礼品，不具备货币功能和炒作价值。

我们再次声明，阿里云绝不会发行任何比特币之类的虚拟货币，也不会提供任何所谓的“挖矿平台”。

对于捕风捉影的虚假报道，我们将依法追究法律责任。

阿里云计算有限公司

2018年1月16日

⑧ 阿里云允许用云主机挖矿吗

VPS提供商一般都不允许云主机进行挖矿，一旦发现就会被封禁，而且本来就对挖矿进行了限制，本身你就无法使用云主机进行挖矿，而且性能也达不到挖矿的标准。

⑨ top cpu飙高,中了挖矿程序----解决方法

1.发现cpu异常,查看对应的进程信息

2.查看进程发现是挖矿进程在执行

3.确定是挖矿病毒,查看进程的执行文件链接到哪里,发现是jenkins的工作目录,最后结果发现是jenkins的漏洞导致自动创建CI计划,进行启动挖矿脚本

4.查看虚机密码是否被破解登录

5.查找挖矿文件

6.检查定时任务脚本

jenkins CVE-2018-1999002 漏洞修复: https://paper.seebug.org/648/
jenkings漏洞利用: https://xz.aliyun.com/t/4756
CI安全隐患: https://www.jianshu.com/p/8939aaec5f25
jenkins漏洞描述地址: https://www.cyberark.com/threat-research-blog/tripping-the-jenkins-main-security-circuit-breaker-an-inside-look-at-two-jenkins-security-vulnerabilities/

⑩ 阿里云ECS服务器CPU占用较高时，该如何处理

这种情况可以考虑是被挖矿了，可以找到云市场云顶云寻求帮助，一般这种情况会让工程师进行排查找出问题所在，然后再进行修理，大概的时间一般是三天以内