Q:我不知道什么是挖矿,也从来没有主动进行过挖矿,我应该怎么办?
A:您的服务器极有可能被外部攻击者恶意入侵并用于挖矿活动。建议您立即排查服务器安全状况,同时我们强烈建议您在备份重要数据后,重新初始化云盘,以确保完全清理挖矿程序。
Q:我已经进行了挖矿程序清理,不清楚是否还有残留、是否还会关停?
A:若服务器仍存在挖矿行为,在关停限期前2日会通过邮件、短信、语音电话等通道向您发送通知,请注意关注。若关停限期前2日均未收到挖矿治理消息通知,则您的云服务器不会被关停。
Q:我不知道什么是挖矿,暂时也没有相关技术能力排查挖矿程序,我应该怎么办?
A:
您可以按以下步骤对您的服务进行初步排查
排查是否有异常的CPU占用(注:挖矿木马可能不会占满您的CPU,但CPU占用会长时间持续稳定在一定水平,如20%、50%)。
排查是否有异常的网络连接,如连接非常见端口、连接未知IP/海外IP等
排查系统定时任务中是否存在未知/恶意命令。
若仍然未能发现挖矿程序,强烈建议您在备份重要数据后,重新初始化云盘,可确保完全清理挖矿程序。
您可以免费试用云防火墙、云安全中心,以辅助您排查挖矿活动。(注:试用扫描结果仅作紧急排查辅助,不能作为唯一参考)
云安全中心清理挖矿程序:登录云安全中心控制台(免费试用)→ 客户端安装 → 病毒扫描 → 告警处理;详细见《云安全中心挖矿程序处理最佳实践》
云防火墙防止挖矿程序再植入:登录云防火墙控制台(免费试用)→ 攻击防护 → 防护配置(拦截模式)→ 打开威胁情报,基础防御以及虚拟补丁开关:详细见《云防火墙防御挖矿蠕虫最佳实践》
Q:云安全中心已经没有任何告警为什么还收到挖矿治理通知?
A:
(云安全中心试用扫描结果仅作紧急排查辅助,不能作为唯一参考)
请在 云安全中心→资产中心→未受保护的服务器 确认云安全中心是否正在保护您的服务器,若未安装云安全中心客户端请点此前往安装。
请在 云安全中心→总览 确认是否开启云安全中心高级防护功能(可申请免费试用);免费版只提供基础检测功能,可能无法发现隐匿程度较高的恶意程序。
云安全中心安全扫描存在周期性,请使用 云安全中心→病毒防御 扫描获得实时结果。
请确认是否有挖矿告警被加入白名单,请勿通过添加白名单的方式清理挖矿程序
确认您是否有搭建网络代理服务,该服务可能被恶意利用,为挖矿提供通信流量转发。
Q:服务即将被关停,我由于客观原因限制来不及完成整改,应该怎么办?
A:您可以通过工单或阿里云客服联系进行反馈,后台将根据情况提供1~3天的延期。