帮助服务器被挖矿程序入侵，如何排查

最近有新客户咨询我们SINE安全公司，说服务器经常卡死的网站打不开，远程连接

服务器很慢，有时PING值在300-500之间如何用服务器挖矿，经常丢包。听客户说，一般

会判断是被CC+DDOS混合流量攻击了，再具体点说就是机房没有被流量攻击。

这有点奇怪。不是流量攻击，但是也会导致服务器死机，网站打不开。这是怎样的攻击？为了解决客户

为了解决用户服务器卡的问题，我们立即安排了一名安全工程师对其Linux服务器进行安全测试和安全部署。

SSH远程登录客户端Linux服务器，查看当前进程，发现有一个特殊进程占用100%

CPU，它会继续被占用。我们检查了进程，发现它不是linux系统进程。

查看目录，发现该进程是木马进程。经过仔细的安全分析，确定是最新的挖掘过程。

矿机木马病毒，矿机种类很多，什么比特币，什么罗马，太多了，看来现在的挖矿技术

扩展到黑客服务器以进行肉鸡挖掘。

挖矿木马的检测与清除

我们发现系统目录下的挖矿木马主要使用名为Q99.sh的文件来控制客户的linux服务器，见

其中编写的代码以root权限运行，并自动启动定时任务，并在服务器重启时继续执行定时任务。

客户再怎么重启也无济于事，不然卡死了。木马代码还调用了一些Linux系统命令，bashe

bashd挖矿如何用服务器挖矿，这个命令是最直接的，也是最关键的占CPU的关键，太粗鲁了，这样挖矿本身就会使

客户发现了问题，看来矿工只对赚钱感兴趣，没有考虑长远的解决方案。

挖矿木马还设计了如果挖矿过程被客户强行停止，会自动开始继续挖矿，实现不间断挖矿。

仔细检查后发现，任务调度设置为每小时执行一次，远程下载shell挖矿木马，然后执行。查看

当前进程是否存在，启动挖矿木马，不存在则开始挖矿。

对客户的linux服务器进行了详细的安全检查，幸运的是没有加密的服务器数据，还有蠕虫感染。

有毒，如果数据被加密，损失会很大。客户是一个平台，里面的客户数据非常重要。找到挖矿木马后，

客户端需要知道服务器是如何被攻击的？由挖矿木马上传？防止此类攻击在未来再次发生

情况。

通过我们安全工程师的安全检测分析，发现服务器使用的是apache tomcat环境，平台是开放的

开发架构为JSP+oracle数据库，apache tomcat使用2016版本，导致apache严重存在

入侵者的远程命令执行漏洞可以通过该漏洞直接入侵服务器，获取服务器的管理员权限。

SINE安全工程师立即修复apache漏洞并移除木马，至此问题已解决，客户端服务器

一切运行稳定，网站正常打开。