阿里云ECS服务器就是目前很多网站客户在使用的，可以采用相同系统在服务器中，Windows2008 windows2012,Linux系统都可以在阿里云服务器中使用，前段时间我们接到客户的安全求救，说道就是接到阿里云的短信提醒，提醒服务器存在挖矿进程，恳请立即处理的安全告警。客户网站都无法正常的打开，卡的连服务器SSH远程连接都进不去，给客户造成了非常大的影响。

随即我们工程师对客户的服务器进行全面的安全检测，登入阿里云的掌控平台，通过本地远程进来，辨认出客户服务器CPU达到百分之100，查看了服务器的CPU监控记录，平时都是在百分之20-35之间浮动，我们TOP查看进程，跟踪查看那些进程在占用CPU，通过检查发现，有个进程一直在挤占，从上面检查出来的问题，可以判断客户的服务器被植入了挖矿程序，服务器被黑，导致阿里云安全警告有挖矿进程。

原来就是客户的服务器中了挖矿木马，我们来看下top进程的截图：

我们对占用进程的ID，进行查找，发现该文件就是在linux系统的tmp目录下，我们对该文件展开了强制性删掉，并使用强制性删除进程的命令对该进程展开了删除，CPU瞬间降到百分之10，挖矿的根源就在这里，那么黑客是如何攻击服务器，植入挖矿木马程序的呢？通过我们多年的安全经验推论，客户的网站可能被盗用了，我们立即进行对客户网站的全面安全检测，客户采用的是dedecms建站系统，开源的php+mysql数据库架构，对所有的代码以及图片，数据库进行了安全检测，果不其然发现了问题，网站的根目录下被上传了webshell木马文件，咨询了客户，客户说之前还收到过阿里云的webshell后门告诫，当时客户并没在意。

这次服务器被植入挖矿木马程序的漏洞根源就是网站存在漏洞，我们对dedecms的代码漏洞进行了人工复原，包含代码之前存在的远程代码执行漏洞，以及sql注入漏洞都展开了全面的漏洞修复，对网站的文件夹权限进行了安全部署，默认的dede后台帮忙客户搞了修正，以及减少网站后台的二级密码防护。

去除木马后门，对服务器的定时任务里，发现了攻击者添加的任务计划，每次服务器重启以及间隔1小时，自动继续执行挖矿木马，对该定时任务计划展开删掉，检查了linux系统用户，是否被添加其他的root级别的管理员用户，发现没添加。对服务器的反向链接展开查看，包含蓄意的端口有没有其他IP链接，netstat -an检查了所有端口的安全状况，发现没植入远程木马后门，对客户的端口安全展开了安全部署，采用iptables去管制端口的流向与流入。

至此客户服务器中挖矿木马的问题才以求全盘的化解，关于挖矿木马的防水与解决办法，总结一下

几点：

定期的对网站程序代码展开安全检测，检查与否有webshell后门，对网站的系统版本定期的升级与漏洞修复，网站的后台登录进行二次密码检验，防止网站存有sql转化成漏洞，被获取管理员账号密码，从而登录后台。使用阿里云的端口安全策略，对80端口，以及443端口展开开放，其余的SSH端口展开IP离境，须要登录服务器的时候入阿里云后台添加放行的IP，尽可能的杜绝服务器被蓄意登录，如果您也遇到服务器被阿里云提示信息挖矿程序，可以打听专业的网站安全公司去处理，也希望我们解决问题的过程，能够帮到更多的人。