阿里云ECS服务器被挖矿病毒感染解决办法

问题描述

收到阿里云短信提醒,两台所在不同区域的服务器均受到挖矿病毒感染。


image

问题分析

进入阿里云安全中心,查看安全问题详情,显示挖矿程序访问恶意下载源

挖矿程序

访问恶意下载源

可以看到病毒通过脚本从github上下载了一个叫做XMRig 的程序,经了解这个程序是用来挖矿的。
image

XMRig

同时定位到有问题的文件/home/trace,通过这条线索,发现网上也有类似中招的用户(https://cloud.tencent.com/developer/news/304639)。
该病毒文件伪装成常见的系统文件名,实则为病毒。通过virscan云查杀,证实该文件确实为病毒。

查杀结果

image

image

image

image

处理进展

期间,使用阿里云安全中心查杀过这个病毒,但是其处理方式是结束进程,查杀后相关进程确实会结束,但是一段时间后,该程序又会重新启动。根据这篇引用的文章描述,尝试将trace这个文件的执行权限剥夺,然后杀掉这个进程,目前该程序还没有再次启动。
目前尚不清楚病毒感染的原因,可能是端口开放限制太少,也可能是早先在GitHub上泄露了AccessKey所致。
原文地址:http://www.trojx.me/2019/12/18/ecs-miner-virus/

推荐阅读更多精彩内容

  • 最近阿里云一直再给我发警告短信,发现阿里云服务器CPU很高,我登上服务器后执行 top 一看,有个进程minerd...
    依然饭太稀阅读 210评论 0 2
  • 第一章 懒惰少爷 夜已深,漆黑一片,伸手不见五指。但有一家灯光如昼,只见天空开始变色。血色的天空照映大地,只是那一...
    肖府阅读 42评论 0 0
  • 近年来,我们开始听到企业家越来越多地发出这样的抱怨:“这是无可救药、没有责任感的一代人,他们好赖不分,油盐不进,基...
    雪菲Fancy_2c21阅读 17评论 0 0
  • 这是第三个没有他的春节了,我已经快记不起他在时候的样子了,更准确的说是不想去记起。外婆外公很好,这是第三年,依旧是...
    之荔Spring阅读 24评论 0 0
  • 亲爱的老公,今年你还没开始出差,今天吃了晚饭,时间还早,睿宝提议去大润发买点手抓饼当早餐。在工作日,孩子上学日我们...
    图图妈妞妞妹阅读 28评论 0 6