揭秘服务器被挖真相，原因分析及应对策略探讨

服务器被挖是什么原因

1、一觉醒来，我国国产数据库云服务器遭受攻击，朋友反馈CPU占用率激增，高达90%，并收到了勒索邮件，数据库名被恶意篡改，初步判断为挖矿攻击事件，发现服务器存在安全隐患，使用默认SSH端口22，安全性较低，立即采取行动，通过SSH远程连接服务器，利用top和htop命令查看CPU占用情况，迅速找到并终止了挖矿程序。

2、这一问题的主要原因在于：Redis配置了远程访问权限（公网访问），且未设置密码或使用了简单密码，若服务器安装了Redis，应避免远程登录，设置复杂且独特的密码，并更改端口以增强安全性，避免使用root用户启动Redis，以防远程登录后对root权限进行滥用。

3、经过我们安全工程师的深入检测与分析，发现该服务器使用的是Apache Tomcat环境，开发架构为JSP+Oracle数据库，Apache Tomcat版本为2016年发布，存在严重的远程命令执行漏洞，入侵者可以利用该漏洞直接入侵服务器，获取管理员权限，SINE安全工程师立即对Apache漏洞进行了修复。

4、服务器主机资源被攻击的原因主要涉及架构层、主机层和应用层，构建高可用、安全的架构，防止恶意攻击，是确保应用安全的关键，主机层需要加强防火墙安全措施、修改端口、限制公网服务访问，应用层则应采用多点部署、隐藏版本信息、使用私有域名解析等策略。

5、遇到此类问题，首先应联系服务器提供商，说明实际情况，并配合他们进行排查，基本上可以确定是中了挖矿病毒，最简单的解决方法是重装系统，但会导致系统盘数据清空，适用于服务器内没有需要备份的文件的情况，如果选择重装系统，需要先将文件进行病毒扫描，确认安全后再导入服务器。

服务器被检测出挖矿

1、通过top或htop命令，发现PID为3701992的进程占用CPU高达4004%，表现出异常，进一步观察，该进程拥有大量子进程，这是挖矿程序的典型特征，检查服务器对外网络连接，发现该进程与美国IP地址7111947有交互。

2、立即采取行动，通过SSH远程连接服务器，利用top和htop查看CPU占用情况，找到并终止挖矿程序，确认挖矿进程后，修改SSH默认端口号为2368，以防止再次被攻击，恢复数据库，借助现有的物理备份，包括全备份和增量备份，确保数据安全，针对弱密码问题，及时设置强密码，确保数据库安全。

3、系统及组件漏洞可以通过Nessus、lynis等工具进行安全检测和扫描，若服务器已被挖矿，建议对云服务器进行异地数据备份，快速恢复以减少损失，物理服务器应先将业务转移到其他服务器，再进行排查清理，使用GScan、rkhunter、FastIR等工具辅助清理。

玩转云端丨今天你的服务器被挖矿了吗

1、在云电脑体系中，云终端是用户获取云端资源服务的载体，也是传输协议的载体，云终端具备一些传统PC和瘦客户机不具备的优势，如体积小、能耗低、价格实惠、快速部署、零维护、安装简便等。

2、云端挖矿还可以推动区块链技术的发展和应用，促进数字货币的普及和发展，云端挖矿在数字货币领域具有广泛的应用前景和发展空间，在云端挖矿时，选择可靠的云服务提供商至关重要，以避免数据安全和隐私泄露的问题。

3、挖矿，即比特币挖矿，是一种通过计算机硬件计算出比特币位置并获取的过程，被挖矿现象通常表现为CPU资源被大量占用，黑客通常通过软件漏洞，如Redis未授权访问缺陷、VoIP环境等漏洞登录服务器，下载并运行脚本文件，消耗系统资源，本文分享了一个被“挖矿”事件的处理案例。

云服务器被黑客攻击提示用来挖矿!怎么办

1、黑客利用脚本挖矿是一种常见的攻击手段，以下是几种防止被黑客挖脚本的方法：安装杀毒软件和防病毒软件，及时检测和清除潜在的木马病毒；按照最佳实践和安全要求保护服务器、网络和应用程序；设置完善的访问控制机制，包括使用强密码、多因素认证和限制管理员特权等。

2、预防手段包括：安装AIDE，配置文件以监测关键目录；定期备份数据，防止数据丢失，黑客可能会清除痕迹，因此排查时要全面并及时采取措施终止挖矿进程，定期更新安全软件和补丁，以减少被攻击的风险。

求助服务器被挖矿程序入侵如何排查

1、排查方法包括：检查进程和服务，使用`任务管理器`；查看日志，使用系统日志和事件查看器；安装AIDE，配置文件以监测关键目录；定期备份数据，防止数据丢失，黑客可能会清除痕迹，因此排查时要全面并及时采取措施终止挖矿进程，定期更新安全软件和补丁，以减少被攻击的风险。

2、通过top或htop命令，发现PID为3701992的进程占用CPU高达4004%，表现出异常，进一步观察，该进程拥有大量子进程，这是挖矿程序的典型特征，检查服务器对外网络连接，发现在本地活动的进程与美国IP 7111947有交互。