前几天发现服务器报警,cpu使用率已达100%,查资料知道正是最近比较流行的挖矿程序在捣鬼。我们使用的是阿里云的服务器,操作系统是windows server。网上有大量的资料讲如何处理,我把自己处理的思路以及实践过程和大家分享。
1 关闭危险端口
这一步主要是杜绝重复感染,一般挖矿程序都是利用服务器的端口漏洞,将程序放到了服务器上,关闭端口,防止程序重复放到服务器,这样我们就可以关起门来收拾服务器上的挖矿程序了。如何关闭139端口及445端口等危险端口。
参考文章:https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html
2 防火墙开放相关端口
这一步开放端口是为了不影响服务器对外提供的服务,比如web服务的80端口,ftp的20端口,数据库(mysql)的3306,svn的3690等端口,在服务器对外提供服务的时候,会经常用到,需要保持开放状态,在防火墙里进行设置。
参考资料:https://jingyan.baidu.com/article/09ea3ede7311dec0afde3977.html
3 利用命令行命令查看异常端口情况
这一步就是要找出挖矿程序的所在了。在windows中使用命令行命令查看程序的运行状态和端口占用情况,在列表中筛查,看哪些程序比较陌生,可以根据进程名称到网上搜一搜,
如果运行中的程序不是特别多的话,可以很快找到问题进程,找到问题文件,删除之。
参考资料:
http://www.codeweblog.com/windows-%E4%B8%8B%E6%9F%A5%E7%9C%8B%E7%AB%AF%E5%8F%A3%E5%8D%A0%E7%94%A8%E6%83%85%E5%86%B5-netstat-tasklist-findstr/
主要命令: netstat / tasklist / findstr
这种方法,也有可能删除的不够干净,挖矿程序可能潜伏在某个地方,让它的变种出现在你的眼前,删除的可能是变种,过段时间,潜伏的程序又把变种程序生成出来。这时候,就需要用到阿里服务器自带的安全机制,在系统外部直接查找拦截。这些云服务商会提供这些服务,杜绝中毒的事情,不过,一般这种服务是要收费的,毕竟大家还是强调安全,能够保护服务器程序数据安全,花点钱还是值得的。