青藤云安全

服务器安全|服务器被"挖矿"了怎么办?

2021-10-13

近几年虚拟币越来越火了,这就导致了服务器挖矿越来越普及,虽然当前虚拟币的交易市场仍处于持续暴跌状况,但服务器被挖矿的现象却屡见不鲜。很多不法攻击者利用系统脆弱性入侵服务器,并在服务器系统内部植入木马后门进行挖矿,这就使得服务器安全问题亟待解决。

前几天凌晨,客户打电话向我求助,反映服务器异常卡顿,并且接收到云服务商的邮件告警,提示服务器资源负载过高,严重影响正常运行。为此,我赶紧ssh进系统,top了下,发现某进程的CPU资源消耗极高,进程名并不是我司业务进程,很可能是被挖矿了。遇到这种情况慌张是没有用的,可以通过以下几个方面来排查。 

1、寻找原因

首先,排查黑客是否通过漏洞进入。通过青藤万相的入侵检测-后门检测功能进行扫描,发现在后门检测的告警消息中存在一条“挖矿”信息。通过文件分析,确定这是一个系统后门文件。 

2、分析问题

立马杀死进程,删除文件,但15分钟后该进程又自动开启。结合经验判断,这应该是系统定时任务的自动启动。立马通过青藤资产清点产品,清点查询所有计划任务,果然发现该机器上存在恶意挖矿脚本的定时任务,并且在该任务前面有redis标识。显然这条任务不是管理员设定,而是黑客通过redis应用写入的定时任务。由此,基本可以断定攻击者正是通过redis系统存在的风险而侵入的

3、解决问题

redis到底存在什么样的风险呢?通过青藤风险发现功能,发现该服务器上redis应用存在空口令的情况。同时,利用产品对服务运行权限进行检测,发现redis正在以root高权限运行,并允许任何IP源访问。 


解决之道:找到根本原因后,解决问题就相对简单了。首先,增加redis密码为强口令;其次,限制redis运行权限,并限制该应用仅允许本机访问。最后,杀死进程并将定时任务和进程启动文件删除,观察几个小时后进程没再启动,网站访问速度恢复正常。

以上就是青藤小编整理的服务器被挖矿的潜在安全风险,希望对各位小伙伴有所帮助。

预测、防御、检测、响应,让安全一触即达

免费试用
电话沟通
售前业务咨询
400-800-0789转1
售后业务咨询
400-800-0789转2
复制成功
在线咨询
扫码咨询
扫码咨询
免费试用 获取资源