服务器中勒索病毒和挖矿原因分析与处理

起因

近期买了机器来体验最新的一些功能，在成都区。因为需要一些特定的动作，为了保持测试的连通性，就没有做任何的安全防护措施。在反复几个版本以后，就测试完毕了，结果没想到没多久就被入侵。

【腾讯云】尊敬的腾讯云用户，您好！您的腾讯云账号（账号ID：4**，昵称：0.0）下的服务器：10.0.0.17 [Windows Server-xxx，实例ID：lhins-xxxx，地域：西南地区 (成都)，时间：2024-03-24 12:04:48(GMT+8:00)，检测到其密码可能被（来源IP：103.156.178.219, 来源地：中国香港）的机器破解，尝试次数：55次，阻断状态：未阻断（阻断开关未开启），请前往主机安全（https://mc.tencent.com/xxxX）查看详细信息。

第一次显然我是不在意的，因为这个东西，偶尔遇到，何况是一个空机器，于是我把OpenCloudOS 8.6 点了个重装直接了事。结果还没过两天，【腾讯云】尊敬的用户，您的账号（账号ID：4**，昵称：0.0）疑似从事虚拟货币的勘探（挖矿）行为或被恶意植入了挖矿木马。根据相关法律法规和监管部门的要求，请您尽快检查处理名下（xxx.xxx.xxx.xxx）业务，详情请查看站内信https://mc.tencent.com/xxxx。若在2024-03-26 23:59:59后仍检测到有挖矿行为，腾讯云将需要对您的云服务器做出封禁操作，届时将影响您对外提供服务的能力，感谢您的理解和支持。

简单粗暴的处理方式

这我不能忍了啊，一顿上去操作，先换个系统类型，Ubuntu Server 22.04 LTS 64bit

再把安全组都闭了，世界清净了。

回溯

简单处理并不能完全解决这个问题，有必要做一下溯源和提交，所以先到安全中心看下过程。

我们看到一个香港的攻击和一个罗马尼亚的攻击。其中香港的219这个小老弟还爆破成功。

从腾讯云安全后台提供的数据来看，一共尝试了284次。这也说明了我们的密码强度确实不够，我当时用的是连贯性的密码。123 这样的顺序，所以弱口令是一个关键，另外一个是root用户的问题。

这里我们看到它是有一个规则可以尝试设置的，我们进去看看情况

很好，需要rmb的力量，那短期肯定无法按照这个思路来加固了。这个时候我们最被动的就是可以单独在服务器恢复以后，在服务器侧针对攻击的来源ip或ip段进行阻断。

这个思路肯定是比较被动的，如果用ip段的话，可能会影响正常业务。

重建或遭遇前的一些简单排查与加固

我们看下是否能从服务器侧处理问题。https://cloud.tencent.com/document/product/213/68394在这个链接中提到了一些简单的查询方法。为了方便大家，我做了一个演示

修改默认SSH端口

这个时候我们可以确定现在机器是干净的，那么就到了第二个步骤了，修改端口。

https://cloud.tencent.com/document/product/213/42838#ModifyLinuxCVMPort

输入i才会进入 insert模式，看到红框中的模式，才能修改红框中的端口内容

保存返回，并让它生效,很好，报错了，只读的。在命令前加 sudo vim /etc/ssh/sshd_config ，再来一次成功了，继续往下走，systemctl restart sshd.service

Failed to restart sshd.service: Interactive authentication required.

See system logs and 'systemctl status sshd.service' for details.

行吧，报错了，再来，sudo systemctl restart sshd.service 似乎成功了。

我们来看下端口，vim /etc/ssh/sshd_config 和我们改写的一样。 来，放通端口试试看

• SSH connection failed: connect ECONNREFUSED xxx.xxx.xxx.xxx:23456 * ,好，十分的无情。

正确配置端口并放通安全组或防火墙可实现更换端口登录。

！注意，如果最后不注释22端口，需要在安全组或防火墙禁用原本的22端口

为了避免一些不稳定的因素，所以没有选择注释22端口。其实到这一步已经证明端口更换成功，如果是稳定保险起见，可以在文件中选择#port 22 这样的写法来注释该端口。这个部分就不重复演示了。

补充点

1：云上不是绝对的安全，没有绝对的安全

2：必要时可以通过弹性ip或其他手段来遮掩ip，如架设防火墙，阻断、分流等

3：腾讯云的安全三级等保是基于腾讯云自身的业务而非用户侧的机器安全等级。

4：有预算可以直接采用腾讯云的某些安全产品组合来加固，无预算可以用一些必要的手段来保证自己的云上安全，包括但不限于封禁可疑ip段，封禁非常用端口，限制出口流量，监听端口并预警，修改常用远程端口，限制业务端口出入流量，通过第三方安全软件赋能等。

5：设置强口令并定期更换。不使用常见组合如Aa 123 等连贯或叠词组，采用类似qszL]4?9`E8G等非常见的密码甚至直接使用密钥对。

6：理论上，腾讯云侧支持2G以内的免费抗D，说明其具备带宽防护能力，只是需要用户侧购买对应的产品来获得更高维度的安全支撑。

关于云上的简单访问过程

以上就是为什么在购买云上的机器以后还需要通过加购诸如，主机安全，云防火墙，堡垒机，web应用防火墙，DDOS安全防护等产品来加固的原因。受限于条件，有很多东西没画出来，但是真花钱在安全上，也是比较烧的，如下图：

以上还不涉及复杂的一些场景，为了辨识度做了一些简单连线，实际有一些并不是同层级的内容，仅作参考。请以腾讯云官方最终说明为准。

普通用户的归宿

方才写文时，已经看到按量计费的主机安全下线了，所以删减了关于主机安全的介绍篇幅，因为我不可能因为介绍此部分如何操作而买一个月。详情可参考：https://cloud.tencent.com/document/product/296/12236

那么，我们只剩下其他选择了。

日常备份要做好，攻击来时恢复早

备份备份再备份，简单粗暴的备份也许不能完全抵抗攻击，但至少可以保证降低损失。

通过制作镜像快照，数据盘快照等方式来操作，可以设置周期，数据库同理。

创建自定义镜像：https://cloud.tencent.com/document/product/213/4942

创建快照：https://cloud.tencent.com/document/product/362/5755

定期快照：https://cloud.tencent.com/document/product/362/8191

关于备份点：https://cloud.tencent.com/document/product/362/73592

数据库自动备份：https://cloud.tencent.com/document/product/236/35172

低成本的巡检方案

通过第三方的免费安全应用来进行杀毒操作或加固。因品牌等原因，不做明确推荐，可自行探索。

一些常见的问题

• 我中了勒索病毒怎么办？

答：如果数据很重要，考虑花钱买回来吧，如果不重要，直接重装重新部署走起，仅有某些勒索病毒为一些安全团队破解，一样是花钱的。也许有免费的恢复服务，但如果损坏了加密的内容，后果可能更严重，所以需要自己来判断。

• 是否只有腾讯云的机器会中毒？

答：在未有大量的数据统计验证前，暂不能直接下腾讯云被针对攻击的结论。从攻击手法来看，并非能直接说明是针对腾讯云的机器，但可以说明该ip已经暴露。可能是扫描器扫描ip段后进行字典破解的，理论上，有部署对应的安全产品可以阻断该行为。入侵行为包括但不限于在web站点注入，挂马，对SSH端口进行爆破等常见攻击行为。

• 怎么机器突然就被提示挖矿了？

一般是机器被提权后，添加服务并加入自启计划，将该控制机器作为肉鸡进行算力补充，通常可在系统文件中找到后台程序，但排查困难，耗时长，且该类型病毒一般有复制和繁殖能力，如果数据很重要，建议实施网络阻断，在vnc模式下进行数据的校验和抢救，再通过白名单ip等方式登录机器将数据复制到cos或本地（需要防止本地也被感染）。抢救数据后直接重装系统，恢复业务，后续再进行数据的恢复尝试。此类机器一般是没有做安全组限制或密码过于简单。

• 是不是我更换云厂商就没有这个问题了

只能说有可能，更换云厂商意味着系统环境，ip地址等都发生变化，但如果该攻击者是通过域名反向解析ip来抓取ip，那么可以针对ip再次爆破，仍然可以继续攻击。只能说，如果该攻击者并非有意，而是简单通过抓取ip段来攻击，那么更换厂商一般等于更换了ip段，有可能就此避免攻击，但也有可能再次被扫描。

• 购买安全产品能不能解决此问题，比如购买专业版主机安全

答：并不能，需要注意的是，在主机安全的介绍内容中详细的阐述了它所覆盖的范围，上面的架构草图也展示了多个安全产品在不同维度上的作用。只能说，主机安全可以针对性的解决密码爆破这样的问题。但无法抵御来自业务侧上的其他攻击行为。主机安全覆盖范围详见：https://cloud.tencent.com/document/product/296/2221

• 我想一劳永逸解决此类问题

就算高级的安全专家团队，也无法这样承诺！安全瞬息万变，每天都有0day被发现。如果是0day优先被攻击者发现并利用，除非投入重资产安全防护，一般是无法直接防御的，可能会被攻击成功，再修复，然后溯源，加固，大概是这么一个流程。所以安全是一个永恒的话题，理论上如果有安全高手通过各种手段加固防范，并24小时轮流值班，可以将风险降到最低概率，注意，这也不意味着百分百安全，只能说安全事故的可能性无限趋近于0。

勒索病毒补充：https://cloud.tencent.com/developer/article/1987165