阿里云服务器矿池通信行为如何防御

阿里云服务器被恶意入侵，挂了挖矿程序，存在矿池通信行为是服务器中有恶意进程在您的服务器内部去访问外网恶意的ip地址，利用您的服务器资源与带宽运行自己的程序。

处理流程

1、您可以将安全中心提示的进程路径登录到您的服务器内部执行清理。还有告警消息中提示的域名进行解析，将提示的矿池ip地址在安全组出和入方向将解析出的ip地址添加到拒绝规则。这样恶意进程就不会与外界产生交互了。

添加安全组规则屏蔽异常ip：阿里云服务器安全组屏蔽IP和IP网段

2、然后您在服务器内部执行 netstat -anptu | grep 解析出来的这个ip地址，根据筛选出的pid，找到对应的进程，执行命令：ll  /proc/PID/exe 命令查看对应的进程文件（PID是pid号），如果不是正常的进程，建议将进程文件备份之后再删除之后 kill -9 进程看下是否正常。

3、最后执行 crontab  -l 查看下您的定时任务。看下计划任务中是否是异常计划任务，先核实是否是您自己公司人员创建的，如果不是的话，您先将该任务注释。

参照上述方法，故障如果依旧复现，一般是因为病毒具有隐匿性和自我删除的特性，难以彻底清除。您还可以做好数据备份并且 创建快照，然后对系统进行初始化操作，以彻底清除病毒。后期做好服务器的安全加固。