阿里云服务器ECS Linux 系统出现：minerd 、tplink 等挖矿进程怎么办？

• ， 11 9月 2020
• 作者 aliyundaili
• 阿里云运维

阿里云服务器ECS Linux 系统出现：minerd 、tplink 等挖矿进程怎么办？

客户提问：
我现在的阿里云服务器 ECS Linux 系统服务器现在经常上 CPU 使用率超过 70%，严重时可达到 100%，或者服务器响应越来越慢，之前不是这样的
凯铧互联技术回复：
经凯铧互联技术人员在阿里云服务器上运行 top 命令，结果如下：
可以看到，有一个 minerd （或 tplink）的异常进程，占用了大量 CPU 资源。该进程是阿里云服务器 被入侵后，被恶意安装的比特币挖矿程序，一般存在于 /tmp/ 目录下。
如果使用 top 命令查看不到所述进程，可以用 ps 命令检查相关进程。例如，

可以看到，阿里云服务器 中存在这个进程。如果它不是您主动开启的，则很可能是被入侵所致。阿里云服务器被恶意利用来挖比特币。
隐藏的恶意模块

黑客通过驱动 rootkit 程序入侵主机，并部署隐藏挖矿程序，CPU 使用率可能达到 90-100%。该场景无法通过 top 命令和 ps 命令来检测确认。
处理方案

使用如下命令，通过 PID 获取对应文件的路径。然后，找到并删除对应的文件。
命令为：ls -l /proc/$PID/exe
其中，$PID 为进程对应的 PID 号，可以通过 ps 或者 top 获取。
使用 kill 命令关闭进程。
建议您平时增强服务器的安全维护，优化代码，以避免因程序漏洞等导致服务器被入侵。
隐藏的恶意模块
被隐藏的恶意模块一般有：raid.ko、iptable_mac.ko、snd_pcs.ko、usb_pcs.ko 和 ipv6_kac.ko。您可以使用 file /lib/udev/usb_control/… 命令，分别检查是否存在以上模块。
例如，使用以下命令查看是否存在 iptable_mac.ko 模块：
命令为：file /lib/udev/usb_control/iptable_mac.ko
结果如下图所示，表明存在隐藏的 iptable_mac.ko 模块。

说明：本文提到的挖矿程序排查场景，仅为运维技术人员提供故障排查思路，不保证与攻击者实际使用方式一致，具体场景以实际情况为准。

本文适用于：
阿里云服务器ECS Linux 系统出现：minerd 、tplink 等挖矿进程怎么办？

 

凯铧互联科技不单单可以优惠购买，还有免费技术服务提供，这样又靠谱又有技术服务的代理商不多了，推荐选择凯铧互联。关于阿里云代理商几折这个具体问题要问具体代理，代理公司不同可能价格也不同。通过阿里云代理商凯铧互联购买和在阿里云购买一样的功能,价格也是非常的便宜,比如在阿里云直接管理,享受阿里云原价合同票据,阿里云和授权服务中心的7×24小时技术服务。
如果您按本文操作没有解决您的问题，请及时联系我方客服，凯铧互联的混合云服务拥有全球云计算的支持以及强大的设备支持，可以帮助企业及商家增强对成本的控制力，帮助企业及商家对公司的数据大资源进行更加有条理的管理，混合云服务可以综合私有云以及公有云，使得两者可以同时为企业及商家服务，增加管理的效率，从而增大企业的发展空间，为企业及商家的发展助力。 并且凯铧互联建立了各种技术交流微信群，大家可以一起交流！
阿里云代理凯铧互联会为您提供及时、专业、一对一的技术服务支持。需要购买阿里云产品可以直接联系本站客服，通过阿里云代理商凯铧互联合作购买，官网直接购买，但是价格更优，详情请致电158-0160-3153。凯铧互联提供阿里云产品折上折代购服务，低至75折，几乎阿里云全线产品都可以代购！
如果您的问题还未能解决，您可以联系阿里云代理商凯铧互联客服寻求帮助。