All Products
Search
Document Center

Elastic Compute Service:Tanggapan dan perlindungan terhadap virus penambangan

Last Updated:Jun 24, 2026

Di lingkungan cloud, virus penambangan secara jahat mengonsumsi sumber daya seperti CPU, menyebabkan instans menjadi lambat, merespons dengan pelan, atau bahkan tidak dapat dijangkau melalui koneksi remote. Hal ini dapat mengganggu operasi bisnis, menyebabkan kebocoran data, dan memperluas risiko. Anda dapat segera membatasi kerusakan dan mencegah infeksi ulang dengan menggunakan Security Center atau menerapkan strategi tanggapan dan perlindungan manual, seperti mengatur ulang password atau kunci serta memblokir alamat IP.

Peringatan virus penambangan

Untuk instans yang telah mengaktifkan fitur security hardening gratis, Security Center akan mengirimkan peringatan melalui SMS atau email saat mendeteksi adanya program penambangan. Buka halaman Security Alerts untuk memeriksa apakah ada peringatan program penambangan.

挖矿告警

Catatan

Program penambangan menyebabkan penggunaan CPU tinggi secara berkelanjutan. Oleh karena itu, instans yang lambat, merespons dengan pelan, atau tidak dapat dijangkau melalui koneksi remote sering kali merupakan tanda awal infeksi. Jika Anda menemukan beban CPU yang tidak biasa tinggi saat melakukan troubleshooting masalah koneksi remote, rujuk topik ini untuk investigasi dan pemulihan.

Penting

Jika server Anda dimatikan untuk pertama kalinya akibat virus penambangan, Anda dapat membuka halaman Security Control Events untuk membukanya sendiri.

Setelah membuka kunci server, Anda harus segera purge program penambangan tersebut. Jika aktivitas penambangan terdeteksi kembali, server akan dimatikan dan dikunci, serta Anda tidak dapat membukanya sendiri.

Menanggapi dan menghapus virus penambangan

Isolasi server yang terinfeksi

Anda dapat mengisolasi instans ECS yang terinfeksi dengan memodifikasi aturan security group-nya untuk membatasi akses jaringan publik dan SSH.

  1. Login ke Konsol ECS dan buka halaman Security Groups.

  2. Temukan security group tempat instans ECS target berada, lalu klik ID security group tersebut untuk membuka halaman manajemennya.

  3. Pada halaman aturan security group, temukan semua inbound rule yang mengizinkan akses publik, seperti aturan untuk port RDP dan SSH. Ubah sumber aturan tersebut agar hanya mengizinkan akses dari alamat IP tertentu yang tepercaya.

    Catatan

    Modifikasi aturan security group berlaku untuk semua instans ECS yang terikat pada security group tersebut. Pastikan perubahan Anda tidak berdampak tak disengaja pada instans lain.

Purge program jahat

Program penambangan sering kali sulit dihapus sepenuhnya. Kami menyarankan Anda mencadangkan data penting terlebih dahulu, lalu menginisialisasi ulang cloud disk untuk memastikan program tersebut benar-benar terhapus.

Security Center

Prasyarat

Langkah 1: Penahanan segera

Gunakan fitur Security Alerts di Security Center untuk segera menghentikan program penambangan dengan menghentikan proses jahat dan mengkarantina file virus.

  1. Login ke Konsol Security Center.

  2. Di panel navigasi kiri, pilih Threat Analysis and Response > Security Alerts. Di pojok kiri atas konsol, pilih wilayah aset Anda.

  3. Pada kolom Actions di peringatan penambangan, klik Details untuk melihat detail peringatan.

    Gunakan informasi dasar, deskripsi event, dan fitur di Konsol Security Center untuk menemukan program penambangan dan memeriksa adanya peringatan atau file mencurigakan lainnya. Anda perlu menentukan apakah file yang memicu peringatan penambangan merupakan file bisnis yang sah atau file jahat. Jika program penambangan terkait dengan event peringatan lain, seperti komunikasi dengan mining pool atau akses ke nama domain jahat, kami menyarankan untuk menanganinya secara bersamaan.

  4. Klik Process Alert. Pada kotak dialog yang muncul, pilih Virus Detection and Removal, lalu klik Handle.

    Untuk menangani beberapa peringatan sejenis atau yang dipicu oleh aturan yang sama, pilih Process similar alerts at the same time.

  5. Pada daftar security alert, lakukan operasi Block terhadap peringatan turunan lain yang dihasilkan oleh event cryptomining, seperti peringatan terkait perilaku komunikasi dengan mining pool.

    Security Center akan membuat kebijakan untuk memblokir server agar tidak dapat mengakses mining pool. Hal ini memberi Anda waktu yang cukup untuk menangani insiden keamanan. Anda juga dapat secara manual menambahkan alamat IP mining pool ke security group untuk memblokir akses. Untuk informasi tentang cara menambahkan aturan security group, lihat Add a security group rule.

  6. Pada daftar security alert, periksa adanya peringatan anomali perilaku proses untuk menemukan dan menangani tugas terjadwal yang mencurigakan.

Langkah 2: Pemindaian mendalam

Gunakan fitur Virus Detection and Removal di Security Center untuk memindai aset Anda. Fitur ini dapat mendeteksi dan membersihkan mekanisme persistensi malware, seperti item auto-start dan tugas terjadwal.

  1. Login ke Konsol Security Center.

  2. Di panel navigasi kiri, pilih Protection Configuration > Host Protection > Virus Detection and Removal. Di pojok kiri atas konsol, pilih wilayah aset Anda.

  3. Pada halaman Virus Detection and Removal, klik Scan Now atau Rescan. Pada panel Scan Settings, atur mode dan cakupan pemindaian, lalu klik OK.

    Atur Scan Mode ke Quick Scan, dan untuk Scan Scope, pilih server yang diserang oleh program penambangan.

  4. Setelah pemindaian selesai, pada halaman Virus Detection and Removal, pada kolom Actions untuk peringatan target, klik Process.

  5. Pada panel Process Alert, pilih Deep Scan, lalu klik Next.

    Setelah sistem memproses peringatan, Anda dapat melihat hasil dan statusnya.

    image

Deteksi keamanan

Gunakan fitur deteksi tanpa agen (agentless) dari Security Center untuk melakukan pemindaian keamanan komprehensif terhadap sistem dan data disk instans ECS Anda. Fitur ini hanya mendukung deteksi dan tidak menyediakan remediasi. Anda harus menangani item risiko yang terdeteksi secara manual berdasarkan petunjuk pada halaman detail risiko. Deteksi tanpa agen adalah fitur pay-as-you-go. Untuk informasi lebih lanjut, lihat Agentless detection.

Agentless detection

  1. Masuk ke konsol Security Center.

  2. Di panel navigasi kiri, pilih Protection Configuration > Host Protection > Agentless Detection. Di pojok kiri atas konsol, pilih wilayah aset Anda.

  3. Pada halaman Agentless Detection, pada panel Host Security Check, klik Detect Now.

  4. Pada panel Detect Now, konfigurasikan pengaturan sesuai tabel berikut, lalu klik OK.

    • Scan Scope: Kami menyarankan memindai data disk untuk cakupan deteksi kerentanan dan peringatan yang lebih luas.

    • Image Retention Duration:

      • Nilainya dapat berkisar antara 1 hingga 365 hari.

      • Anda dikenai biaya untuk pembuatan image. Semakin lama Anda menyimpan image, semakin tinggi biayanya.

        Penting

        Jika Anda memilih Retain Only At-risk Image, sistem akan secara otomatis menghapus image yang bebas ancaman setelah pemindaian selesai.

  5. Setelah tugas deteksi selesai, lihat hasilnya untuk kerentanan, pemeriksaan baseline, peringatan keamanan, dan file sensitif.

    Segera tangani risiko tersebut sesuai petunjuk pada halaman detail risiko.

    image

Pembersihan manual

Sebelum melakukan operasi pembersihan apa pun, buat snapshot server untuk mencegah kehilangan data akibat kesalahan operasional.

Linux

  1. Blokir komunikasi jaringan jahat.

    Setelah menemukan aktivitas penambangan pada host, langkah pertama adalah memblokir komunikasi jaringan trojan untuk segera mengendalikan dampaknya, karena respons insiden lengkap bisa memakan waktu lama.

    1. Jalankan perintah berikut untuk melihat status koneksi jaringan sistem saat ini.

      netstat -antp

      image

    2. Pada perintah berikut, ganti c2_address dengan alamat remote mencurigakan (Foreign Address) yang tidak digunakan oleh operasi bisnis normal Anda. Lalu, jalankan perintah untuk menambahkan aturan firewall yang memblokir semua koneksi jaringan antara server dan alamat mencurigakan tersebut.

      iptables -A INPUT -s c2_address -j DROP
      iptables -A OUTPUT -d c2_address -j DROP
  2. Hapus program penambangan dan file terkaitnya

    Program penambangan sering kali sulit dihapus sepenuhnya. Cadangkan data penting Anda, lalu inisialisasi ulang cloud disk untuk memastikan program tersebut benar-benar terhapus.

    • Purge tugas terjadwal

      Trojan penambangan sering menggunakan tugas terjadwal untuk mengunduh (memperbarui) dan menjalankan dirinya secara berkala. Menghapus proses penambangan dan file trojan saja tidak akan memberantas program tersebut dan dapat menyebabkan infeksi berulang.

      Periksa file tugas terjadwal berikut dan hapus tugas apa pun yang terkait dengan pengunduhan dan eksekusi trojan penambangan.

      1. Lihat tugas terjadwal untuk pengguna saat ini atau pengguna tertentu (username).

        crontab -l
        crontab -u username -l
      2. Periksa semua file tugas terjadwal pada host.

        /etc/crontab
        /var/spool/cron/
        /etc/anacrontab
        /etc/cron.d/
        /etc/cron.hourly/
        /etc/cron.daily/
        /etc/cron.weekly/
        /etc/cron.monthly/
    • Purge entri layanan auto-start

      1. Jalankan perintah berikut untuk memeriksa semua layanan auto-start pada sistem.

        systemctl list-unit-files | grep enabled
      2. Temukan file unit layanan mencurigakan dan periksa detailnya.

        Ganti * dengan nama layanan dan <service_unit_name> dengan nama file unit layanan.

        ls -al /etc/systemd/system/*.service
        ls -al /usr/lib/systemd/system/*.service
        
        # View service details (the process file started by the service)
        cat /etc/systemd/system/<service_unit_name>.service
      3. Jika menemukan layanan auto-start jahat, gunakan perintah berikut untuk menonaktifkan layanan dan menghapus file unit-nya.

        Ganti <service_name> dengan nama layanan dan <service_unit_name> dengan nama file unit layanan.

        systemctl disable <service_name>
        rm /etc/systemd/system/<service_unit_name>.service
        rm /usr/lib/systemd/system/<service_unit_name>.service
      4. Periksa path layanan berikut untuk layanan auto-start dan bersihkan dengan langkah-langkah di atas.

        /etc/rc.local
        /etc/inittab
        /etc/rc.d/
        /etc/init.d/
    • Purge kunci publik SSH

      Trojan penambangan sering menambahkan kunci publik SSH penyerang ke file ~/.ssh/authorized_keys. Hal ini memungkinkan penyerang login ke host korban tanpa password dan menanamkan kembali file jahat. Anda perlu memeriksa file ~/.ssh/authorized_keys dan segera menghapus kunci publik mencurigakan apa pun.

    • Purge pembajakan .so

      Dengan mengatur file .so yang dipra-muat (preloaded) dalam file /etc/ld.so.preload, penyerang dapat membajak perintah sistem umum seperti top/ps/netstat untuk menyembunyikan proses penambangan.

      1. Jalankan perintah berikut untuk memeriksa file .so yang dipra-muat.

        cat /etc/ld.so.preload
      2. Jalankan perintah berikut untuk menghapus pembajakan preload.

        echo > /etc/ld.so.preload
    • Purge akun jahat

      Beberapa keluarga trojan penambangan membuat akun backdoor baru untuk mempertahankan kendali jangka panjang atas host korban. Jalankan perintah berikut untuk memeriksa akun jahat, lalu hapus informasi akun terkait secara manual.

      1. Periksa log untuk aktivitas pembuatan akun baru-baru ini.

        cat /var/log/audit/audit.log | grep useradd
        # Or
        cat /var/log/secure | grep 'new user'
      2. Periksa file /etc/passwd untuk akun mencurigakan.

        cut -d: -f1 /etc/passwd
      3. Periksa waktu pembuatan atau terakhir aktif akun mencurigakan dengan memeriksa direktori home-nya. Perhatikan khusus direktori home yang baru dibuat.

        stat /home/guest/
    • Purge proses trojan penambangan

      Proses penambangan biasanya mengonsumsi sumber daya CPU tinggi. Anda dapat menggunakan perintah berikut untuk menyelidiki proses penambangan mencurigakan.

      1. Temukan proses yang mengonsumsi CPU tinggi.

        top -c

        image

        ps -eo pid,ppid,cmd,%cpu --sort=-%cpu | more

        image

      2. Periksa perilaku koneksi jaringan abnormal.

        netstat -antp

        image

      3. Dapatkan path file dari proses mencurigakan.

        ls -al /proc/$PID/exe
      4. Hitung hash MD5 file proses dan kueri informasi file tersebut di platform Alibaba Cloud Threat Intelligence.

        md5sum /proc/$PID/exe

        image

      5. Jalankan perintah berikut untuk menghentikan proses penambangan dan menghapus file penambangan.

        kill -9 $PID
        # Delete the process path obtained from ls -al /proc/$PID/exe
        rm /path/to/executable

Windows

  1. Di PowerShell, jalankan perintah berikut untuk mengidentifikasi proses penambangan mencurigakan berdasarkan penggunaan CPU.

     ps | sort -des cpu
     While(1) {ps | sort -des cpu | select -f 15 | ft -a; sleep 1; cls}
  2. Jalankan perintah berikut untuk melihat path file proses penambangan dan parameter dalam perintah startup-nya.

    wmic process where processid=xxx get processid,executablepath,commandline,name     // xxx indicates the process PID
  3. Hentikan proses penambangan dan hapus file penambangan.

  4. Jalankan perintah berikut untuk memeriksa port jaringan mencurigakan pada host.

    netstat -ano | findstr xxx            // xxx indicates the suspicious network port
  5. Jalankan perintah berikut untuk memeriksa apakah file hosts berisi alamat mining pool yang digunakan oleh program penambangan.

    type  C:\Windows\System32\drivers\etc\hosts
  6. Jalankan perintah berikut untuk memeriksa tugas terjadwal yang dikonfigurasi oleh program penambangan.

    schtasks /query

Rekomendasi

Setelah pembersihan, ikuti rekomendasi berikut untuk mencegah infeksi ulang:

  • Reset password dan kunci: Password atau kunci instans mungkin telah dikompromikan. Segera ganti semua password pengguna dan kunci SSH untuk mencegah infeksi ulang. Jika Anda menggunakan password sebagai kredensial logon, hindari penggunaan password yang lemah.

  • Perbaiki kerentanan: Perbarui patch untuk kerentanan yang diketahui dan terapkan pembaruan keamanan secara berkala pada sistem operasi dan aplikasi seperti Redis dan Jenkins.

  • Buat backup data: Buat Snapshot secara berkala untuk data penting dan konfigurasi sistem agar memungkinkan pemulihan cepat setelah terjadi Insiden. 

Dokumen Terkait

Praktik terbaik untuk mempertahankan diri dari program penambangan: Modul IPS Cloud Firewall menggunakan intelijen kerentanan dan pembenahan virtual untuk melacak serta mempertahankan jaringan dari eksploitasi oleh sebagian besar cacing penambangan, serta memblokir penyebaran virus.

FAQ

Bagaimana cara memperbaiki error "Operation not permitted"?

Setelah menulis file persistence seperti scheduled task dan item auto-start, beberapa virus penambangan mengatur atribut immutable (immutable) pada file-file tersebut untuk mencegah penghapusan.

image

Seperti yang ditunjukkan pada gambar di atas, jalankan perintah chattr -i [filename] untuk menghapus atribut tersebut, lalu hapus file-nya.

Mengapa program penambangan muncul kembali?

Hal ini biasanya terjadi karena hanya program virus utama yang dihapus, sedangkan mekanisme persistensinya (seperti scheduled task atau layanan auto-start) tidak dihilangkan. Virus menggunakan backdoor ini untuk mengunduh ulang dan menjalankan dirinya sendiri, sehingga muncul kembali. Pastikan Anda mengikuti langkah-langkah dalam Purge the malicious program untuk menyelidiki secara menyeluruh semua metode persistensi.