阿里云国际站代理商：阿里云服务器被植入挖矿程序怎么办？简介：TG@luotuoemo 本文由阿里云代理商【聚搜云】撰写

简介：TG@luotuoemo

本文由阿里云代理商【聚搜云】撰写

处置告警结束恶意进程：
- 登录云安全中心控制台，选择需防护资产所在的区域。
- 在左侧导航栏，选择“安全告警”。
- 找到并单击挖矿告警操作列的“详情”，查看该告警的详细信息。
- 返回安全告警列表，处理挖矿程序告警。
- 单击目标挖矿程序告警“操作”列的“处理”。
- 在告警处理对话框，处理方式选中“病毒查杀”，然后选中“结束该进程的运行”或“结束进程并隔离源文件”，并单击“立即处理”。
- 在安全告警列表，对挖矿事件产生的其他衍生告警，执行“阻断”操作。
深度查杀病毒：
- 登录云安全中心控制台，选择需防护资产所在的区域。
- 在左侧导航栏，选择“病毒查杀”。
- 在“病毒查杀”页面，单击“立即扫描”或“重新扫描”。
- 在“扫描设置”面板，设置扫描模式和扫描范围，然后单击“确定”。
- 等扫描完成后，在“病毒查杀”页面，单击目标告警“操作”列的“处理”。
- 在“告警处理”面板，选择“深度查杀”，单击“下一步”。

排查并删除计划任务中的挖矿木马下载和启动任务：

查看主机所有计划任务文件：

/etc/crontab
/var/spool/cron/
/etc/anacrontab
/etc/cron.d/
/etc/cron.hourly/
/etc/cron.daily/
/etc/cron.weekly/
/etc/cron.monthly/

清除自启动服务项：

找到对应可疑服务的单元文件，排查服务详细信息：

ls -al /etc/systemd/system/*.service
ls -al /usr/lib/systemd/system/*.service
cat /etc/systemd/system/<service_unit_name>.service

如果发现恶意的自启动服务项，使用以下命令禁用服务，删除对应单元文件：

systemctl disable <service name>
rm /etc/systemd/system/<service_unit_name>.service
rm /usr/lib/systemd/system/<service_unit_name>.service

排查其他服务路径中的自启动服务：
- 查看以下服务路径是否有自启动服务：
```
/etc/rc.local
/etc/inittab
/etc/rc.d/
/etc/init.d/
```
清除SSH公钥：
- 排查~/.ssh/authorized_keys文件，如果发现可疑公钥，立即删除。
清除.so劫持：
- 通过/etc/ld.so.preload文件设定预加载的.so文件，可以劫持常见的系统命令，例如top/ps/netstat等，达到隐藏挖矿进程的目的。

通过CPU占用情况排查可疑的挖矿进程：
- 在PowerShell中执行以下命令：
  
  powershell复制
```
ps | sort -des cpu
While(1) {ps | sort -des cpu | select -f 15 | ft -a; sleep 1; cls}
```
查看挖矿进程的磁盘文件、进程启动命令的参数：
- 执行以下命令：
  
  powershell复制
```
wmic process where processid=xxx get processid,executablepath,commandline,name
```
结束挖矿进程，清除挖矿文件：
- 使用任务管理器或命令行结束挖矿进程。
- 删除挖矿程序的磁盘文件。
检查主机连接的可疑网络端口：
- 执行以下命令：
  
  powershell复制
```
netstat -ano | findstr xxx
```
检查服务器中hosts文件是否存在挖矿程序的矿池地址：
- 执行以下命令：
  
  powershell复制
```
type C:\Windows\System32\drivers\etc\hosts
```
排查是否存在挖矿程序设定的计划任务：
- 打开任务计划程序，检查是否存在异常的计划任务。