Di lingkungan cloud, virus penambangan secara jahat mengonsumsi sumber daya seperti CPU, menyebabkan instans menjadi lambat, merespons dengan pelan, atau bahkan tidak dapat dijangkau melalui koneksi remote. Hal ini dapat mengganggu operasi bisnis, menyebabkan kebocoran data, dan memperluas risiko. Anda dapat segera membatasi kerusakan dan mencegah infeksi ulang dengan menggunakan Security Center atau menerapkan strategi tanggapan dan perlindungan manual, seperti mengatur ulang password atau kunci serta memblokir alamat IP.
Peringatan virus penambangan
Untuk instans yang telah mengaktifkan fitur security hardening gratis, Security Center akan mengirimkan peringatan melalui SMS atau email saat mendeteksi adanya program penambangan. Buka halaman Security Alerts untuk memeriksa apakah ada peringatan program penambangan.

Program penambangan menyebabkan penggunaan CPU tinggi secara berkelanjutan. Oleh karena itu, instans yang lambat, merespons dengan pelan, atau tidak dapat dijangkau melalui koneksi remote sering kali merupakan tanda awal infeksi. Jika Anda menemukan beban CPU yang tidak biasa tinggi saat melakukan troubleshooting masalah koneksi remote, rujuk topik ini untuk investigasi dan pemulihan.
Jika server Anda dimatikan untuk pertama kalinya akibat virus penambangan, Anda dapat membuka halaman Security Control Events untuk membukanya sendiri.
Setelah membuka kunci server, Anda harus segera purge program penambangan tersebut. Jika aktivitas penambangan terdeteksi kembali, server akan dimatikan dan dikunci, serta Anda tidak dapat membukanya sendiri.
Menanggapi dan menghapus virus penambangan
Isolasi server yang terinfeksi
Anda dapat mengisolasi instans ECS yang terinfeksi dengan memodifikasi aturan security group-nya untuk membatasi akses jaringan publik dan SSH.
-
Temukan security group tempat instans ECS target berada, lalu klik ID security group tersebut untuk membuka halaman manajemennya.
-
Pada halaman aturan security group, temukan semua inbound rule yang mengizinkan akses publik, seperti aturan untuk port RDP dan SSH. Ubah sumber aturan tersebut agar hanya mengizinkan akses dari alamat IP tertentu yang tepercaya.
CatatanModifikasi aturan security group berlaku untuk semua instans ECS yang terikat pada security group tersebut. Pastikan perubahan Anda tidak berdampak tak disengaja pada instans lain.
Purge program jahat
Program penambangan sering kali sulit dihapus sepenuhnya. Kami menyarankan Anda mencadangkan data penting terlebih dahulu, lalu menginisialisasi ulang cloud disk untuk memastikan program tersebut benar-benar terhapus.
Security Center
Prasyarat
-
Untuk menangani ancaman virus penambangan menggunakan Security Center, Anda harus membeli edisi Anti-virus, Advanced, Enterprise, atau Ultimate Security Center. Anda juga dapat mengaktifkan uji coba gratis 7 hari untuk edisi Enterprise guna mendapatkan kemampuan keamanan yang diperlukan.
-
Pastikan agen Security Center pada server yang terinfeksi sedang online. Untuk informasi lebih lanjut, lihat Install the agent dan Troubleshoot an offline agent.
Langkah 1: Penahanan segera
Gunakan fitur Security Alerts di Security Center untuk segera menghentikan program penambangan dengan menghentikan proses jahat dan mengkarantina file virus.
-
Login ke Konsol Security Center.
-
Di panel navigasi kiri, pilih . Di pojok kiri atas konsol, pilih wilayah aset Anda.
-
Pada kolom Actions di peringatan penambangan, klik Details untuk melihat detail peringatan.
Gunakan informasi dasar, deskripsi event, dan fitur di Konsol Security Center untuk menemukan program penambangan dan memeriksa adanya peringatan atau file mencurigakan lainnya. Anda perlu menentukan apakah file yang memicu peringatan penambangan merupakan file bisnis yang sah atau file jahat. Jika program penambangan terkait dengan event peringatan lain, seperti komunikasi dengan mining pool atau akses ke nama domain jahat, kami menyarankan untuk menanganinya secara bersamaan.
-
Klik Process Alert. Pada kotak dialog yang muncul, pilih Virus Detection and Removal, lalu klik Handle.
Untuk menangani beberapa peringatan sejenis atau yang dipicu oleh aturan yang sama, pilih Process similar alerts at the same time.
-
Pada daftar security alert, lakukan operasi Block terhadap peringatan turunan lain yang dihasilkan oleh event cryptomining, seperti peringatan terkait perilaku komunikasi dengan mining pool.
Security Center akan membuat kebijakan untuk memblokir server agar tidak dapat mengakses mining pool. Hal ini memberi Anda waktu yang cukup untuk menangani insiden keamanan. Anda juga dapat secara manual menambahkan alamat IP mining pool ke security group untuk memblokir akses. Untuk informasi tentang cara menambahkan aturan security group, lihat Add a security group rule.
-
Pada daftar security alert, periksa adanya peringatan anomali perilaku proses untuk menemukan dan menangani tugas terjadwal yang mencurigakan.
Langkah 2: Pemindaian mendalam
Gunakan fitur Virus Detection and Removal di Security Center untuk memindai aset Anda. Fitur ini dapat mendeteksi dan membersihkan mekanisme persistensi malware, seperti item auto-start dan tugas terjadwal.
-
Login ke Konsol Security Center.
-
Di panel navigasi kiri, pilih . Di pojok kiri atas konsol, pilih wilayah aset Anda.
-
Pada halaman Virus Detection and Removal, klik Scan Now atau Rescan. Pada panel Scan Settings, atur mode dan cakupan pemindaian, lalu klik OK.
Atur Scan Mode ke Quick Scan, dan untuk Scan Scope, pilih server yang diserang oleh program penambangan.
-
Setelah pemindaian selesai, pada halaman Virus Detection and Removal, pada kolom Actions untuk peringatan target, klik Process.
-
Pada panel Process Alert, pilih Deep Scan, lalu klik Next.
Setelah sistem memproses peringatan, Anda dapat melihat hasil dan statusnya.

Deteksi keamanan
Gunakan fitur deteksi tanpa agen (agentless) dari Security Center untuk melakukan pemindaian keamanan komprehensif terhadap sistem dan data disk instans ECS Anda. Fitur ini hanya mendukung deteksi dan tidak menyediakan remediasi. Anda harus menangani item risiko yang terdeteksi secara manual berdasarkan petunjuk pada halaman detail risiko. Deteksi tanpa agen adalah fitur pay-as-you-go. Untuk informasi lebih lanjut, lihat Agentless detection.
Pembersihan manual
Sebelum melakukan operasi pembersihan apa pun, buat snapshot server untuk mencegah kehilangan data akibat kesalahan operasional.
Linux
-
Blokir komunikasi jaringan jahat.
Setelah menemukan aktivitas penambangan pada host, langkah pertama adalah memblokir komunikasi jaringan trojan untuk segera mengendalikan dampaknya, karena respons insiden lengkap bisa memakan waktu lama.
-
Jalankan perintah berikut untuk melihat status koneksi jaringan sistem saat ini.
netstat -antp
-
Pada perintah berikut, ganti
c2_addressdengan alamat remote mencurigakan (Foreign Address) yang tidak digunakan oleh operasi bisnis normal Anda. Lalu, jalankan perintah untuk menambahkan aturan firewall yang memblokir semua koneksi jaringan antara server dan alamat mencurigakan tersebut.iptables -A INPUT -s c2_address -j DROP iptables -A OUTPUT -d c2_address -j DROP
-
-
Hapus program penambangan dan file terkaitnya
Program penambangan sering kali sulit dihapus sepenuhnya. Cadangkan data penting Anda, lalu inisialisasi ulang cloud disk untuk memastikan program tersebut benar-benar terhapus.
-
Windows
-
Di PowerShell, jalankan perintah berikut untuk mengidentifikasi proses penambangan mencurigakan berdasarkan penggunaan CPU.
ps | sort -des cpu While(1) {ps | sort -des cpu | select -f 15 | ft -a; sleep 1; cls} -
Jalankan perintah berikut untuk melihat path file proses penambangan dan parameter dalam perintah startup-nya.
wmic process where processid=xxx get processid,executablepath,commandline,name // xxx indicates the process PID -
Hentikan proses penambangan dan hapus file penambangan.
-
Jalankan perintah berikut untuk memeriksa port jaringan mencurigakan pada host.
netstat -ano | findstr xxx // xxx indicates the suspicious network port -
Jalankan perintah berikut untuk memeriksa apakah file hosts berisi alamat mining pool yang digunakan oleh program penambangan.
type C:\Windows\System32\drivers\etc\hosts -
Jalankan perintah berikut untuk memeriksa tugas terjadwal yang dikonfigurasi oleh program penambangan.
schtasks /query
Rekomendasi
Setelah pembersihan, ikuti rekomendasi berikut untuk mencegah infeksi ulang:
-
Reset password dan kunci: Password atau kunci instans mungkin telah dikompromikan. Segera ganti semua password pengguna dan kunci SSH untuk mencegah infeksi ulang. Jika Anda menggunakan password sebagai kredensial logon, hindari penggunaan password yang lemah.
-
Perbaiki kerentanan: Perbarui patch untuk kerentanan yang diketahui dan terapkan pembaruan keamanan secara berkala pada sistem operasi dan aplikasi seperti Redis dan Jenkins.
-
Buat backup data: Buat Snapshot secara berkala untuk data penting dan konfigurasi sistem agar memungkinkan pemulihan cepat setelah terjadi Insiden.
Dokumen Terkait
Praktik terbaik untuk mempertahankan diri dari program penambangan: Modul IPS Cloud Firewall menggunakan intelijen kerentanan dan pembenahan virtual untuk melacak serta mempertahankan jaringan dari eksploitasi oleh sebagian besar cacing penambangan, serta memblokir penyebaran virus.
FAQ
Bagaimana cara memperbaiki error "Operation not permitted"?
Setelah menulis file persistence seperti scheduled task dan item auto-start, beberapa virus penambangan mengatur atribut immutable (immutable) pada file-file tersebut untuk mencegah penghapusan.

Seperti yang ditunjukkan pada gambar di atas, jalankan perintah chattr -i [filename] untuk menghapus atribut tersebut, lalu hapus file-nya.
Mengapa program penambangan muncul kembali?
Hal ini biasanya terjadi karena hanya program virus utama yang dihapus, sedangkan mekanisme persistensinya (seperti scheduled task atau layanan auto-start) tidak dihilangkan. Virus menggunakan backdoor ini untuk mengunduh ulang dan menjalankan dirinya sendiri, sehingga muncul kembali. Pastikan Anda mengikuti langkah-langkah dalam Purge the malicious program untuk menyelidiki secara menyeluruh semua metode persistensi.




