阿里云服务器发现挖矿程序,阿里云yum工具和出站80端口不可用的问题排查一例

阿里云服务器被挖坑怎么办?(我是电脑小小白)?

面对阿里云服务器被挖坑的情况，首先应保持冷静，采取有效措施恢复服务器安全。在遇到问题时，可以通过阿里云官网右侧找到并点击联系在线客服，他们能提供专业指导。此外，提交技术工单也是不错的选择。在提交工单时，请附上详细的操作截图，以便技术人员更清晰地了解问题，给出针对性的解决策略。

阿里云yum工具和出站80端口不可用的问题排查一例

1、实例重置后，发现yum无法使用。提示yum连接超时，连接的目标主机是阿里云的yum源（23*的IP地址，为外网地址），协议为HTTP。进一步测试发现DNS解析正常，curl访问内网的80端口正常，访问外网所有80端口均超时，访问外网的8080/443等部分非80端口正常。

2、执行yum命令报404错误 检查yum仓库是否配置正确，可到阿里云下载repo配置文件。若报错包含$releasever变量，则需确认centos-release是否已安装。未安装时，可执行特定命令下载并安装。

3、首先，若执行 yum 命令报 404 错误，检查 yum 仓库是否配置正确至关重要。可访问 CentOS 镜像下载阿里云 repo 配置文件进行验证。如果错误信息中包含 $releasever 变量，则需确认 centos-release 是否已安装。

4、查看该目录，确认有文件 my_first_web.html 存在，排除了资源不存在的问题。然而，我们发现启动 nginx 的用户和 nginx 工作用户不一致，这导致了 403 错误。为了解决这个问题，我们修改了工作用户和启动用户一致，成功解决了访问问题。

5、bash# CentOSyum -y install wget curl# Ubuntuapt -y install wget curlbash -c $（curl -fsSL raw.githubusercontent.com...）然后，使用这些工具替换清单文件中的镜像地址，以实现加速效果。

Redis未授权访问漏洞(一)先导篇

1、攻击者在未授权访问Redis后，通过使用config命令，能进行写文件操作。攻击者可以将自己的ssh公钥写入目标服务器的/root/.ssh文件夹的authorized_keys文件中，从而使用对应私钥直接登录服务器、添加计划任务、写入Webshell等。

2、靶机ip为19163176上存在redis未授权访问漏洞，所以可以直接进行无密码连接。Redis的服务已经启动了，端口在6379上。先用第一台攻击机连接靶机Redis-cli –h 19163176 往19163176靶机的/var/spool里写入命令，然后保存名字为root的文件。

3、利用redis写入webshell的步骤如下：靶机redis链接未授权，攻击机可连接并未验证登录；开启web服务器，利用phpinfo或错误爆路径爆露目录，确保具有文件操作权限。将shell写入/home/bmjoker目录，注意使用换行符确保文件执行性。针对以root身份运行的Redis，可利用漏洞获取root权限。

4、Redis，作为一种远程字典服务的内存型键值数据库，因其默认的0.0.0.0：6379监听端口和空密码设置，存在一个未授权访问的安全漏洞。该漏洞源于服务器权限的滥用，允许未经授权的用户获取系统权限，对系统安全构成威胁。利用这个漏洞，攻击者可以通过四种方式来获取系统权限。

5、Redis未授权访问漏洞总结：当Redis服务未设置密码，且客户端可通过远程连接的方式成功连接，就可能产生未授权访问漏洞。例如，通过ping命令验证连接，如redis-cli -h 10.1 -p 6379 -a mypass ping，若密码正确，会返回PONG。要复现这个漏洞，首先需在攻击机上安装Redis。

阿里云windows服务器中了挖矿的病毒怎么清理?

1、建议是重做系统，然后找护卫神给你做一下系统安全加固，把漏洞彻底堵住才有效果。

2、清理挖矿程序后，建议重置系统作为最简单的方法。在阿里云控制台中，停止服务器并更换操作系统。更换过程中，应仔细阅读提示信息，并根据需要选择与之前相同的配置。重置后，远程登录服务器并检查crontab配置是否正常。最后，监控服务器的CPU使用情况，确保恢复正常状态。

3、面对阿里云服务器被挖坑的情况，首先应保持冷静，采取有效措施恢复服务器安全。在遇到问题时，可以通过阿里云官网右侧找到并点击联系在线客服，他们能提供专业指导。此外，提交技术工单也是不错的选择。在提交工单时，请附上详细的操作截图，以便技术人员更清晰地了解问题，给出针对性的解决策略。

4、病毒将挖矿相关文件拷贝至 /usr/local/lib/目录，并修改 /etc/ld.so.preload 文件以确保程序在启动时自动加载。通过执行特定命令删除病毒文件并恢复系统权限，使用iptables阻止网络连接，以及kill掉病毒进程，最终解决了问题。

5、收到阿里云短信/站内信提醒，线上某资源被病毒入侵。查看告警详情及登录服务器后确认是感染了DDG挖矿病毒，入侵点是redis。由于病毒行为复杂，难以彻底清除对系统的修改，决定重置该实例然后重新部署服务。实例重置后，发现yum无法使用。

6、采用2颗至强E5-2600V3系列处理器，内存采用128GB/256GBDDR42133/2400MHZ，系统硬盘采用2块512GSSD固态硬盘，数据硬盘采用3块25寸2T企业级硬盘，或者3块35寸4T企业级硬盘，平台采用支持两GPU服务器（LZ-743GR），四GPU服务器（LZ-748GT），八GPU服务器（LZ-4028GR）。