服务器被植入挖矿病毒的解决方案

　 域名预订/竞价，好“米”不错过

近日，某一客户网站服务器被入侵，导致服务器被植入木马病毒，重做系统也于事无补，目前客户网站处于瘫痪状态，损失较大，通过朋友介绍找到我们SINE安全公司，我们立即成立安全应急处理小组，针对客户服务器被攻击，被黑的情况进行全面的安全检测与防护部署。记录一下我们整个的安全处理过程，教大家该如何防止服务器被攻击，如何解决服务器被入侵的问题。

首先我们来确认下客户的服务器，使用的是linux centos系统，网站采用的PHP语言开发，数据库类型是mysql，使用开源的thinkphp架构二次开发而成，服务器配置是16核，32G内存，带宽100M独享，使用的是阿里云ECS服务器，在被黑客攻击之前，收到过阿里云的短信，提示服务器在异地登录，我们SINE安全技术跟客户对接了阿里云的账号密码以及服务器的IP，SSH端口，root账号密码。立即展开对服务器的安全应急处理。

登录服务器后我们发现CPU占用百分之90多，16核的处理都在使用当中，立即对占用CPU的进程进行追查发现是watchdogs进程占用着，导致服务器卡顿，客户的网站无法打开状态，查看服务器的带宽使用占用到了100M，带宽全部被占满，一开始以为网站遭受到了DDOS流量攻击，通过我们的详细安全分析与检测，可以排除流量攻击的可能，再对watchdogs相关联的进程查看的时候发现了问题。服务器被入侵植入了挖矿木马病毒，植入木马的手法很高明，彻底的隐藏起来，肉眼根本无法察觉出来，采用的是rootkit的技术不断的隐藏与生成木马。