阿里云的服务器被攻击 阿里云服务器释放后还能恢复吗

云服务器被黑客攻击,提示用来挖矿!怎么办

昨天下午，一位朋友告诉我他的服务器被阿里云检测到在进行挖矿活动，并且阿里云官方已经将服务器关闭。无需慌张，解决这类问题的最简单方式是在阿里云平台提交工单，详细描述相关问题。在解禁服务器后，需要在三日内找到并删除挖矿程序，否则服务器可能再次被封禁，且无法再次解封，情况可能会导致服务器被官方回收。

在排查问题时，我们首先关注了阿里云提供的漏洞管理监测，发现确实存在一个漏洞，即Redis未授权弱口令。通过网络查询，我们了解到，攻击者可能通过Redis向系统注入本地公钥到服务器的/root/.ssh/authorized_keys文件中，从而在本地免密登录服务器。这一问题的主要原因包括：Redis设置了远程访问（公网访问）、未设置密码或使用简单密码等。因此，如果服务器安装了Redis，应避免远程登录，设置复杂且不易在网络中找到的密码，并更改端口以提高安全性。此外，避免使用root用户启动Redis，以防止远程登录后对root权限进行操作。

在进一步查找问题时，我们发现登录密码在阿里云客服工单中提供。这表明，朋友之前因更改登录密码后无法远程连接，从而寻求客服协助修改远程连接密码。设置的密码可能是常见的阿里云2021@zSS，这可能是密码被破解或泄露的原因，导致挖矿程序入侵服务器。

找到挖矿程序的关键是识别和删除相关定时任务。在Linux系统中，通常使用crontab设置定时任务。通过执行crontab-e命令编辑root用户的crontab文件，我们可以查找是否存在可疑的定时任务。例如，发现了一个包含网址和IP地址的脚本，其内容为下载并执行名为a.sh的文件。

在解决挖矿程序时，首先可以通过crontab-e查看并删除与挖矿相关的定时任务。接着，需要对/etc/crontab文件进行检查，以确保未存在其他隐藏的挖矿配置。在清除所有相关文件后，应重新检查服务器是否被重新感染。此外，还需注意挖矿脚本可能包含的复杂操作，如卸载安全防护、修改系统配置等。

清理挖矿程序后，建议重置系统作为最简单的方法。在阿里云控制台中，停止服务器并更换操作系统。更换过程中，应仔细阅读提示信息，并根据需要选择与之前相同的配置。重置后，远程登录服务器并检查crontab配置是否正常。最后，监控服务器的CPU使用情况，确保恢复正常状态。

为了加强服务器的安全防范，建议以下几点措施：

1.初次接触或对云服务器不熟悉的读者可使用宝塔面板进行服务器管理和操作。

2.对所有安装的应用服务，应避免使用默认端口号，并为这些服务设置复杂密码，可以使用1password.com等工具生成随机密码。

3.保持系统自带的防火墙和安全防护功能开启，以提供基础的安全保障。

通过这些步骤和建议，可以有效地识别、防范和解决服务器被黑客攻击并用于挖矿的问题，保护服务器的安全性。

网站被攻击怎么办

如果你是用的阿里云的服务器，那么建议你在你的服务器上再加一个SLB，负载均衡，能起到很好的防范作用，因为设置后对外的IP是SLB的IP,不会暴露你本身服务器的IP，而且SLB本身也是具备防范能力的

首先用top命令或者是任务管理器查看你进程占用较高的程序，一般就是木马或者病毒的程序

直接使用kill命令结束，但是一般的木马程序都是有守护进程，所以你结束他一个进程是没用的，建议备份重要的文件重装系统！

这里给大家介绍一些平时怎么防范的措施，一点就是关闭平时不需要用到的端口，经常修改你的服务器密码以及数据库密码，而且密码的强度要尽量设置的高一点，被攻击是及时找出攻击者的IP，然后将该IP拉入黑名单，可以将规则写入防火墙里面，平时做好这些工作一般就没什么问题了，实在是自己搞不定的可以向阿里云的客服求助，也会帮到你的

阿里云服务器对外攻击解锁后解决方案有哪些

ECS云服务器对外攻击解锁后解决方案

注意：排查前请先创建快照备份，避免误操作导致数据丢失无法还原。

2015年11月10日，我们检测到黑客大规模利用Redis漏洞攻击，植入木马，请务必重点关注。

如果您有安全技术支持需求，如排查服务器 WEB应用被黑、网站挂黑链、网站网页被修改、服务器中马清理、漏洞检测并修复、安全事件快速响应、您可以购买我们的付费云托管服务 。

排查病毒木马

使用 netstat查看网络连接，分析是否有可疑发送行为，如有则停止。

使用杀毒软件进行病毒查杀。

Linux常见木马清理命令:

chattr-i/usr/bin/.sshd

rm-f/usr/bin/.sshd

chattr-i/usr/bin/.swhd

rm-f/usr/bin/.swhd

rm-f-r/usr/bin/bsd-port

cp/usr/bin/dpkgd/ps/bin/ps

cp/usr/bin/dpkgd/netstat/bin/netstat

cp/usr/bin/dpkgd/lsof/usr/sbin/lsof

cp/usr/bin/dpkgd/ss/usr/sbin/ss

rm-r-f/root/.ssh

rm-r-f/usr/bin/bsd-port

find/proc/-name exe| xargs ls-l| grep-v task|grep deleted| awk‘{print$11}’| awk-F/‘{print$NF}’| xargs killall-9

排查并修复服务器漏洞

查看服务器账号是否有异常，如有则停止删除掉。

查看服务器是否有异地登录情况，如有则修改密码为强密码(字每+数字+特殊符号)大小写，10位及以上。

查看 Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic后台密码，提高密码强度(字每+数字+特殊符号)大小写，10位及以上，不使用建议关闭 8080管理端口。

查看WEB应用是否有漏洞，如 struts, ElasticSearch等，如有则请升级。

Jenkins管理员无密码远程执行命令漏洞，如有请设置密码或关闭 8080端口管理页面。

查看 Redis无密码可远程写入文件漏洞，检查/root/下黑客创建的SSH登录密钥文件，删除掉，修改 Redis为有密码访问并使用强密码，不需要公网访问最好 bind 127.0.0.1本地访问。

查看 MySQL、SQLServer、FTP、WEB管理后台等其它有设置密码的地方，提高密码强度(字每+数字+特殊符号)大小写，10位及以上。

如果有安装第三方软件，请按官网指引进行修复。

开启云盾服务

开启云盾服务，并开启所有云盾安全防护功能对您的主机进行安全防护，免于再次遭到恶意攻击。

实施安全防御方案，请您尽快开启安骑士服务，同时也建议您配置云盾服务。

如果问题仍未解决

经过以上处理还不能解决问题，强烈建议您执行下列操作：

将系统盘和数据盘的数据完全下载备份到本地保存。

重置全盘。登陆云服务器ECS控制台。

单击进行您需要进行初始化的实例，备份完服务器数据。

关闭实例。

单击重置磁盘，按您的实际情况选择系统盘和数据盘重置即可。6.重新部署程序应用并对数据进行杀毒后上传，并重新进行前述的 3步处理。

如果问题还未能解决，请联系售后技术支持。