用云服务器挖矿_连锁超市用云服务咋样_用公司闲置服务器挖矿

接近 2018 年底，我们在阿里云上的一台 ECS 服务器被阿里云短信提示有一个挖矿程序。多次收到阿里云短信提醒，服务器植入挖矿程序，导致系统资源消耗大；并且我还收到了一个安全警报，CPU 使用率已达到 90%。我们的服务器并没有运行大量的网站，它只是一个公司的展示网站。CPU% 超过 90% 的警报怎么会出现？然后致电阿里云寻求帮助。查看服务器CPU占用率为何如此之高，得知服务器被黑，导致挖矿木马。服务器包含一个挖矿进程，由于不停的挖矿，CPU一直很高。

服务器挖矿程序处理流程

首先，让我们了解一下什么是挖矿：

挖矿与区块链和虚拟货币有关。虚拟货币是通过挖矿挖出来的。每隔一段时间，比特币或以太坊虚拟货币会在其区块链系统上生成一个区块的随机代码。，网络上的所有服务器都能找到这个随机码，即挖矿过程挖掘这个随机码，谁挖出这个码就会产生区块链的一个区块，然后比特币和以太坊会奖励找到这个随机码的人并奖励一定数量的虚拟币，那么矿工就有挖矿的动力，维持整个区块链节点网络的正常运行，挖矿需要哈希值的计算和服务器的处理，所以一些攻击者利用入侵其他人的服务器为自己挖掘并获得利润。

如果你知道什么是挖矿，那么我们就得从服务器开始。我的服务器是阿里云linux centos系统。执行top命令可以查看当前服务器的所有进程。我们来看下图：

挖矿程序的进程一般是由数字和大小写字母组合而成的进程名用云服务器挖矿，如：WaKuang、Qw1a、Poa1等挖矿进程名，有的甚至伪装成正常进程名绕过管理员。最简单的查杀方法是使用TOP命令判断当前占用CPU最高的进程。

当我们看到一个恶意进程时，我们看看该进程的程序是在哪里调用的。lsof -p pid 执行此命令，并写入 TOP 看到的进程的 PID。比如我的PID是888，那么执行lsof -p 888，我们就可以看到被调用的程序文件在哪里。

如下所示：

从上图可以看出，这个进程使用的文件的位置非常可疑。我们将打开目录地址，看看目录中是否有恶意文件。我们通过检查发现确实存在恶意文件，而且文件中实际写有大量恶意挖矿程序代码。确定问题后，我们必须删除这些恶意文件，强制删除该目录下的文件，删除Linux系统的自启动项目，移除挖矿程序的自启动，清除挖矿程序。挖矿木马、KILL挖矿过程、服务器挖矿程序至此已解决。

删除挖矿程序的安全建议及处理方法

定期检查服务器的安全性，检查服务器系统是否有linux定时任务，服务器重启后是否会自动加载启动项，对服务器的连接应用阿里云安全组策略，单独的特殊端口。释放，比如服务器的SSH端口，当管理员要登录时用云服务器挖矿，先释放IP再登录服务器。修复服务器漏洞，查看服务器上传木马文件的原因，是否通过系统漏洞或网站漏洞入侵。如果对服务器不是很了解，可以找专业的网络安全公司处理挖矿程序，删除挖矿木马。