All Products
Search

This Product

    Security Center:Atasi cryptomining

    Document Center

    Security Center:Atasi cryptomining

    Last Updated:Mar 26, 2026

    Dokumen ini mencakup langkah-langkah penahanan segera, analisis akar penyebab, pembersihan, dan penguatan keamanan jangka panjang untuk membantu Anda memulihkan operasi bisnis dan mencegah infeksi di masa depan.

    Kasus penggunaan

    • Bahaya program cryptomining

      • Konsumsi dan degradasi sumber daya: Program cryptomining mengonsumsi sumber daya CPU dalam jumlah besar untuk komputasi intensif yang diperlukan dalam menambang cryptocurrency. Hal ini dapat sangat menurunkan kinerja CPU dan secara langsung memengaruhi operasi normal aplikasi bisnis lainnya di server.

        Penyebaran seperti worm: Setelah perimeter keamanan berhasil ditembus, malware cryptomining dapat bergerak lateral dan menyebar dengan cepat di seluruh jaringan internal. Malware tersebut membuat mekanisme persistensi pada server yang telah dikompromikan untuk memastikan keuntungan jangka panjang.

        Sulit dihapus: Program cryptomining sering menggunakan mekanisme perlindungan terkoordinasi, sehingga penghapusan yang tidak lengkap dapat menyebabkan infeksi berulang. Beberapa varian, seperti xorddos, bahkan dapat menggantikan perintah sistem, sehingga skrip berbahaya dijalankan ketika Anda mengeksekusi perintah sistem standar dan membuat proses penghapusan menjadi lebih sulit.

    • Identifikasi aktivitas cryptomining

      • Penurunan kinerja drastis: Utilisasi CPU server secara periodik atau terus-menerus melebihi 80%, menyebabkan aplikasi bisnis merespons lambat atau menjadi tidak tersedia.

      • Stabilitas sistem terganggu: Beban komputasi tinggi dari program cryptomining dapat menyebabkan crash sistem atau gangguan layanan.

      • Menerima peringatan keamanan: Security Center mengirimkan notifikasi saat mendeteksi aktivitas program cryptomining, komunikasi dengan mining pool, atau akses ke nama domain jahat.

    • Strategi respons

      Dalam skenario ini, tujuan utamanya adalah menghapus sepenuhnya program cryptomining beserta backdoor persistensinya, memulihkan kinerja normal server, dan menerapkan penguatan keamanan untuk mencegah kompromi di masa depan.

    Cara kerja

    Panduan ini mengikuti model respons insiden yang terdiri dari penemuan, penahanan, pembersihan, dan penguatan. Panduan ini menyediakan tiga jalur remediasi yang disesuaikan dengan tingkat keahlian teknis dan kebutuhan bisnis pengguna.

    1. Pemeriksaan mandiri cepat dan penahanan darurat: Tujuan tahap ini adalah mengidentifikasi ancaman dan mengendalikan situasi secepat mungkin untuk mencegah kerusakan lebih lanjut. Tindakan utama mencakup identifikasi proses abnormal dan koneksi jaringan mencurigakan serta penggunaan security group untuk isolasi jaringan.

    2. Keputusan dan pemilihan jalur: Berdasarkan keahlian teknis, batasan waktu, dan toleransi risiko Anda, pilih jalur pembersihan yang paling sesuai dari tiga opsi berikut:

      • Pembersihan otomatis dengan Security Center: Ini adalah opsi yang direkomendasikan. Opsi ini menggunakan alat otomatis yang disediakan oleh Security Center untuk menangani peringatan secara efisien dan akurat, memindai virus, serta menghapus backdoor persistensi.

      • Pembersihan manual oleh ahli: Opsi ini cocok untuk profesional yang memiliki pengalaman luas dalam operasi dan pemeliharaan Linux/Windows. Opsi ini melibatkan pembersihan sistem secara mendalam melalui investigasi manual dan eksekusi perintah.

      • Reset sistem: Jika infeksi sudah sangat dalam atau terus berulang, backup data Anda lalu inisialisasi ulang disk sistem untuk menghilangkan ancaman dari sumbernya.

    3. Verifikasi dan penguatan keamanan: Setelah pembersihan, verifikasi bahwa sistem beroperasi secara normal dan terapkan langkah-langkah penguatan keamanan.

    Prosedur

    Pemeriksaan mandiri cepat dan penahanan darurat

    Saat Anda menerima peringatan atau memperhatikan kinerja server yang tidak normal, lakukan tindakan berikut untuk diagnosis awal dan penahanan darurat.

    1. Identifikasi proses dan koneksi jaringan abnormal

      • Periksa proses ber-CPU tinggi: Login ke server dan jalankan perintah top -c atau ps -eo pid,ppid,cmd,%cpu --sort=-%cpu | more untuk menemukan proses tak dikenal yang mengonsumsi sumber daya CPU tinggi dalam periode yang lama.

      • Periksa koneksi jaringan mencurigakan: Jalankan perintah ss -ntp atau netstat -antp untuk memeriksa koneksi ke alamat remote yang tidak dikenal, terutama yang menggunakan port umum mining pool seperti 3333, 5555, dan 7777.

    2. Lakukan penahanan darurat

      • Isolasi jaringan (Direkomendasikan): Ini adalah cara tercepat dan paling aman untuk menahan ancaman. Segera login ke Konsol ECS, ubah aturan security group untuk server tersebut, dan atur aturan outbound agar menolak semua traffic. Izinkan akses hanya untuk port login remote (seperti SSH 22 atau RDP 3389) dari alamat IP tepercaya. Tindakan ini segera memutus komunikasi antara program cryptomining dan mining pool-nya.

      • Hentikan proses berbahaya: Untuk setiap proses berbahaya yang teridentifikasi, jalankan perintah kill -9 <PID> untuk menghentikannya. Perlu dicatat bahwa ini hanya tindakan sementara. Proses tersebut kemungkinan besar akan berjalan kembali jika mekanisme persistensinya tidak dihapus.

    Lakukan pembersihan

    Pilih salah satu metode pembersihan berikut berdasarkan situasi Anda.

    Pembersihan otomatis

    Prasyarat

    • Anda telah membeli edisi Anti-virus, Advanced, Enterprise, atau Ultimate dari Security Center.

      Catatan

      Anda juga dapat mengaktifkan uji coba gratis 7 hari untuk menggunakan fitur terkait.

    • Untuk melakukan pemindaian penuh, Anda harus mengaktifkan fitur Agentless Detection, yang merupakan layanan pay-as-you-go.

    • Pastikan agen Security Center di server target sedang online.

    Langkah 1: Tangani peringatan dan hentikan proses

    Gunakan fitur Alert di Security Center untuk menghentikan proses berbahaya dan mengkarantina file virus guna segera menghentikan program cryptomining. Untuk informasi lebih lanjut, lihat Evaluasi dan tangani peringatan keamanan. Langkah-langkah berikut memberikan contoh.

    1. Masuk ke Konsol Security Center.

    2. Di panel navigasi sebelah kiri, pilih Detection and Response > Alert. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.

    3. Temukan peringatan cryptomining dan klik Details di kolom Actions untuk melihat detail peringatan.

      Penting

      Berdasarkan informasi dasar, deskripsi event, Anda dapat melokalisasi program cryptomining dan memeriksa peringatan atau file mencurigakan lainnya. Anda harus menentukan apakah file yang memicu peringatan tersebut merupakan file bisnis yang sah atau file yang dijalankan oleh penyerang. Jika Anda memastikan ini adalah serangan, tangani semua peringatan dan file mencurigakan lainnya di server setelah menangani peringatan cryptomining.

    4. Kembali ke halaman Alerts untuk menangani peringatan cryptomining.

      1. Klik Actions di kolom Handle untuk peringatan cryptomining target.

      2. Di kotak dialog Handle Alert, pilih Virus Detection and Removal sebagai metode penanganan. Lalu, pilih Terminate Process atau Terminate Process and Quarantine Source File, lalu klik Handle Now untuk mencegah program berjalan kembali.

        Jika Anda memastikan file yang menyebabkan peringatan bukan file bisnis, pilih Terminate Process and Quarantine Source File untuk mencegah virus semakin menginfeksi server Anda.

        Security Center mendukung fitur Batch Handle Same Alerts. Jika Anda perlu memproses peringatan yang dipicu oleh aturan atau jenis yang sama secara batch, Anda dapat memilih Batch Handle Same Alerts.

    5. Di halaman Alerts, temukan peringatan terkait yang dihasilkan oleh event cryptomining, seperti komunikasi dengan mining pool, dan lakukan aksi Block.

      Security Center menghasilkan kebijakan yang sesuai untuk mencegah server mengakses mining pool. Hal ini memberi Anda waktu yang cukup untuk menangani event keamanan. Anda juga dapat secara manual menambahkan alamat IP mining pool ke security group untuk memblokir akses. Untuk informasi lebih lanjut tentang cara menambahkan aturan security group, lihat Add a security group rule.

    6. Di halaman Alerts, periksa apakah ada peringatan anomali perilaku proses untuk menentukan apakah terdapat tugas terjadwal abnormal, lalu tangani peringatan tersebut sesuai kebutuhan.

      计划任务

    Langkah 2: Pemindaian mendalam dan pembersihan

    Setelah proses berbahaya dihentikan, mekanisme persistensinya—seperti layanan auto-startup dan tugas terjadwal—mungkin masih ada. Gunakan fitur Antivirus di Security Center untuk memindai dan membersihkannya. Untuk informasi lebih lanjut, lihat Antivirus. Langkah-langkah berikut memberikan contoh.

    1. Login ke Konsol Security Center. Di panel navigasi sebelah kiri, pilih Protection Configuration > Host Protection > Virus Detection and Removal. Di pojok kiri atas konsol, pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.

    2. Di halaman Virus Detection and Removal, klik Scan Now atau Scan Again.

    3. Di panel Scan Settings, konfigurasikan mode pemindaian dan cakupan pemindaian, lalu klik OK.

      • Scan Mode: Pilih Quick Scan.

      • Scan Scope: Pilih server yang dikompromikan oleh program cryptomining.

        image

    4. Setelah pemindaian selesai, di halaman Virus Detection and Removal, klik Actions di kolom Handle untuk peringatan target.

    5. Di panel Alert Handling, pilih Deep Cleanup, klik Next, lalu tunggu sistem memproses peringatan tersebut.

    6. Setelah peringatan ditangani, lihat hasil dan status peringatan di halaman Alerts.

      image

    Langkah 3: Pemindaian penuh

    Untuk memastikan tidak ada file sisa yang tersisa, Anda dapat menggunakan fitur deteksi tanpa agen (agentless detection) untuk melakukan pemindaian offline seluruh disk. Fitur ini hanya mendukung deteksi, bukan remediasi. Anda harus menangani secara manual risiko apa pun yang terdeteksi berdasarkan detail yang diberikan. Untuk informasi lebih lanjut, lihat Agentless Detection.

    1. Login ke Konsol Security Center. Pilih wilayah tempat aset Anda berada: Chinese Mainland atau Outside Chinese Mainland.

    2. Di tab Agentless Detection > Server Check, di bagian Risk Detection, klik Detect Now.

    3. Di panel Detect Now, konfigurasikan pengaturan seperti yang dijelaskan dalam tabel berikut lalu klik OK.

      • Scan Scope: Kami menyarankan Anda memindai data disk. Sumber data yang lebih lengkap memberikan hasil deteksi kerentanan dan peringatan yang lebih baik.

      • Image Retention Duration:

        • Nilainya dapat berkisar antara 1 hingga 365 hari.

        • Anda dikenai biaya untuk pembuatan image. Semakin lama Anda menyimpan image, semakin tinggi biayanya.

          Penting

          Jika Anda memilih Retain Only At-risk Image, sistem secara otomatis menghapus image yang bebas ancaman setelah pemindaian selesai.

    4. Setelah Anda membuat tugas, Security Center secara otomatis membuat image dan melakukan pemindaian serta operasi selanjutnya. Untuk informasi lebih lanjut, lihat Automatic creation of snapshots and images.

      Catatan

      Semakin banyak data yang dimiliki server, semakin lama tugas pemindaian berlangsung. Tunggu hingga tugas selesai.

    5. Setelah tugas deteksi selesai, tinjau dan tangani risiko kerentanan, kegagalan pemeriksaan baseline, peringatan keamanan, dan file sensitif yang terdeteksi.

    Pembersihan manual

    Untuk memaksimalkan keuntungan mereka, program cryptomining membuat banyak backdoor persistensi, sehingga sulit dihapus. Jika Anda menghadapi virus cryptomining tanpa langganan Security Center, Anda dapat mengambil langkah-langkah berikut untuk menginvestigasi dan menanganinya.

    Penting

    Metode ini melibatkan modifikasi file dan konfigurasi. Sebelum melanjutkan, buat snapshot disk server untuk memastikan Anda dapat memulihkan data jika terjadi kesalahan operasional.

    Sistem Linux

    1. Blokir komunikasi jaringan berbahaya.

      Setelah menemukan aktivitas cryptomining pada host, langkah pertama adalah memblokir komunikasi jaringan Trojan cryptomining untuk segera mengendalikan dampaknya, karena remediasi penuh bisa memakan waktu lama.

      1. Jalankan perintah berikut untuk memeriksa koneksi jaringan sistem saat ini.

        netstat -antp

        image

      2. Dalam perintah berikut, ganti C&C address dengan Foreign Address mencurigakan yang tidak digunakan oleh operasi bisnis normal Anda. Lalu, jalankan perintah untuk menambahkan aturan firewall guna memblokir semua koneksi jaringan antara server dan alamat mencurigakan tersebut.

        iptables -A INPUT -s C&C address -j DROP
iptables -A OUTPUT -d C&C address -j DROP

    2. Bersihkan tugas terjadwal.

      Trojan cryptomining sering menggunakan tugas terjadwal untuk mengunduh (memperbarui) dan menjalankan Trojan secara periodik. Membersihkan hanya proses dan file Trojan saja tidak cukup untuk memberantas program tersebut dan dapat menyebabkan infeksi berulang.

      Investigasi file tugas terjadwal berikut dan hapus tugas apa pun yang terkait dengan pengunduhan atau menjalankan Trojan cryptomining.

      • Lihat tugas terjadwal untuk pengguna saat ini atau pengguna tertentu (username).

        crontab -l
crontab -u username -l

      • Semua file tugas terjadwal di host.

        /etc/crontab
/var/spool/cron/
/etc/anacrontab
/etc/cron.d/
/etc/cron.hourly/
/etc/cron.daily/
/etc/cron.weekly/
/etc/cron.monthly/

    3. Bersihkan layanan auto-startup.

      1. Jalankan perintah berikut untuk menginvestigasi semua layanan auto-startup di sistem.

        systemctl list-unit-files | grep enabled

      2. Temukan file unit untuk layanan mencurigakan dan periksa detailnya.

        Ganti * dengan nama layanan dan <service_unit_name> dengan nama file unit layanan.

        ls -al /etc/systemd/system/*.service
ls -al /usr/lib/systemd/system/*.service

# View service details (the process file started by the service)
cat /etc/systemd/system/<service_unit_name>.service

      3. Jika Anda menemukan layanan auto-startup berbahaya, gunakan perintah berikut untuk menonaktifkan layanan tersebut dan menghapus file unit-nya.

        Ganti <service name> dengan nama layanan dan <service_unit_name> dengan nama file unit layanan.

        systemctl disable <service name>
rm /etc/systemd/system/<service_unit_name>.service
rm /usr/lib/systemd/system/<service_unit_name>.service

      4. Investigasi path layanan berikut untuk layanan auto-startup dan bersihkan menggunakan langkah-langkah di atas.

        /etc/rc.local
/etc/inittab
/etc/rc.d/
/etc/init.d/

    4. Bersihkan kunci publik SSH.

      Trojan cryptomining sering menambahkan kunci publik SSH penyerang ke file ~/.ssh/authorized_keys. Hal ini memungkinkan penyerang login ke host yang dikompromikan tanpa kata sandi dan menginstal ulang file berbahaya. Investigasi file ~/.ssh/authorized_keys dan segera hapus kunci publik mencurigakan apa pun.

    5. Bersihkan pembajakan file .so.

      File .so yang dipra-muat, yang diatur melalui file /etc/ld.so.preload, dapat membajak perintah sistem umum seperti top, ps, dan netstat untuk menyembunyikan proses cryptomining.

      1. Jalankan perintah berikut untuk menginvestigasi file .so yang dipra-muat.

        cat /etc/ld.so.preload

      2. Jalankan perintah berikut untuk menghapus pembajakan pra-muat.

        echo > /etc/ld.so.preload

    6. Bersihkan akun berbahaya.

      Beberapa keluarga Trojan cryptomining membuat akun backdoor baru untuk mempertahankan kendali jangka panjang atas host yang dikompromikan. Jalankan perintah berikut untuk memeriksa akun berbahaya, lalu hapus secara manual informasi akun terkait.

      • Periksa log untuk aktivitas pembuatan akun baru-baru ini.

        cat /var/log/audit/audit.log | grep useradd
# Or
cat /var/log/secure | grep 'new user'

      • Periksa file /etc/passwd untuk akun mencurigakan.

        cut -d: -f1 /etc/passwd

      • Periksa waktu pembuatan atau terakhir aktif direktori home suatu akun. Perhatikan khusus direktori home yang baru dibuat.

        stat /home/guest/

    7. Lawan teknik anti-modifikasi.

      Setelah menulis file persistensi seperti tugas terjadwal dan layanan auto-startup, beberapa Trojan cryptomining mengatur atribut immutable pada file tersebut untuk mencegah mekanisme persistensi dihapus.

      image

      Jika Anda menghadapi situasi ini, seperti yang ditunjukkan pada gambar di atas, jalankan perintah berikut untuk menghapus atribut immutable sebelum menghapus file atau tugas tersebut.

      chattr -i /etc/passwd
chattr -i /etc/crontab

    8. Hentikan proses Trojan cryptomining.

      1. Proses cryptomining biasanya mengonsumsi sumber daya CPU tinggi. Anda dapat menggunakan perintah berikut untuk menginvestigasi proses cryptomining mencurigakan.

        • Investigasi proses yang mengonsumsi banyak CPU host.

          top -c

          image

          ps -eo pid,ppid,cmd,%cpu --sort=-%cpu | more

          image

        • Investigasi perilaku koneksi jaringan abnormal.

          netstat -antp

          image

        • Dapatkan path file dari proses mencurigakan.

          ls -al /proc/$PID/exe

        • Hitung hash MD5 file proses dan cari di platform Intelijen Ancaman Alibaba Cloud.

          md5sum /proc/$PID/exe

          image

      2. Jalankan perintah berikut untuk menghentikan proses cryptomining dan membersihkan file Trojan.

        kill -9 $PID
# Delete the process path obtained from ls -al /proc/$PID/exe
rm /path/to/executable

    Linux (kasus khusus)

    Cryptomining yang menyamar sebagai AliyunDuns

    1. Jalankan perintah berikut untuk menginvestigasi entri auto-startup persisten.

      grep -rlE "\\-\\-donate\\-level|xmrig|\\/opt\\/sysetmd|A_li_yun_Duns" /etc/systemd/system/*
grep -rl "wget"  /etc/cron.hourly/*

    2. Jika ditemukan hasil apa pun, berarti ada layanan auto-startup. Jalankan perintah berikut untuk menghapusnya.

      rm -f /etc/systemd/system/sysetmd.service
rm -f /etc/systemd/system/monero.service
rm -f /etc/systemd/system/A_li_yun_Duns.service
chattr -i /etc/cron.hourly/0
rm -f /etc/cron.hourly/0

    3. Investigasi dan tangani pengguna mencurigakan.

      1. Jalankan perintah berikut untuk menanyakan daftar pengguna sistem dan mengidentifikasi nama pengguna mencurigakan.

        cat /etc/passwd

      2. Jalankan perintah berikut untuk melihat informasi tentang pengguna sistem abnormal. Dalam contoh ini, penggunanya adalah shaojiang99.

        cat /etc/passwd | grep testuser
cat /etc/shadow | grep testuser

      3. Jalankan perintah berikut untuk menghapus pengguna sistem mencurigakan.

        chattr -i /etc/passwd
chattr -i /etc/shadow
sed -i '/^shaojiang99:/d' /etc/shadow
sed -i '/^shaojiang99:/d' /etc/passwd

    Pembersihan manual untuk Skidmap

    1. Jalankan perintah berikut untuk menghapus entri layanan auto-startup.

      echo "" > /lib/systemd/system/systemd-cgroup.service
echo "" > /lib/systemd/system/systemd-deltaed.service
echo "" > /usr/bin/systemd-cgroup.org
echo "" > /usr/bin/systemd-cgroup
echo "" > /usr/bin/systemd-deltaed
echo "" > /usr/bin/systemd-deltaed.org

    2. Bersihkan secara manual file kunci publik SSH authorized_keys dengan menghapus kunci mencurigakan apa pun.

    Pembersihan manual untuk Cleanfda

    1. Investigasi path tugas terjadwal berikut untuk eksekusi skrip mencurigakan, seperti /etc/upat.sh.

      /var/spool/cron/
/etc/cron.d/
/var/spool/cron/crontabs
/etc/crontab

    2. Investigasi perintah yang dimodifikasi (program asli seperti ps, pstree, dan top akan diganti namanya dengan akhiran .original).

      ls -al /usr/bin | grep original

    3. Investigasi kunci publik SSH dan hapus kunci yang tidak dikenal.

      cat ~/.ssh/authorized_keys
cat /root/.ssh/authorized_keys

    Contoh:

    # Restore modified commands
crondir='/var/spool/cron/'"$USER"
mv /bin/ps.original /bin/ps
mv /bin/top.original /bin/top
mv /bin/pstree.original /bin/pstree

# Restore editing permissions for scheduled task files
chattr -R -ia /var/spool/cron
chattr -ia /etc/crontab
chattr -R -ia /var/spool/cron/crontabs
chattr -R -ia /etc/cron.d

# Delete suspicious scheduled tasks and payloads
sed -i '/upat.sh/d' /etc/crontab
rm -rf /etc/cron.d/httpd2
rm -rf /etc/upat.sh
rm -rf /tmp/upat.sh
rm -rf /etc/httpd2
rm -rf /tmp/httpd2

# Delete suspicious public keys
sed -i '/cKtXBjj******hVI0K7b/d' ~/.ssh/authorized_keys
sed -i '/cKtXBjj******hVI0K7b/d' /root/.ssh/authorized_keys

    Cryptomining keluarga Outlaw

    1. Investigasi semua tugas terjadwal cron untuk string .configrc5/.

      • Path tugas terjadwal:

        /var/spool/cron/root
/var/spool/cron/
/etc/cron.d/
/var/spool/cron/crontabs
/etc/crontab

      • Jalankan perintah berikut untuk menginvestigasi.

        grep -r ".configrc5/" /var/spool/cron/*
grep -r ".configrc5/" /etc/cron*

    2. Jika ditemukan, jalankan perintah berikut untuk menghapus file terkait.

      rm -rf /tmp/.X2xi-unix/.rsync
rm -rf ~/.configrc5

    Cryptomining keluarga kinsing

    1. Jalankan perintah berikut untuk menginvestigasi tugas terjadwal cron. Cari konten yang mirip dengan gi.sh | bash > /dev/null. Jika ada, hapus baris tersebut.

      grep -r "gi.sh | bash > /dev/null" /etc/cron*
grep -r "gi.sh | bash > /dev/null" /var/spool/cron/*

    2. Jalankan perintah berikut untuk memeriksa apakah layanan /lib/systemd/system/bot.service ada.

      cat /lib/systemd/system/bot.service

    3. Jika layanan tersebut ada, jalankan perintah berikut untuk memeriksa /etc/ld.so.preload untuk file libsystem.so.

      cat /etc/ld.so.preload

    4. Setelah menemukan path file libsystem.so, hapus file libsystem.so tersebut.

    Metode lain

    Jika virus telah sangat dalam menginfiltrasi sistem dan terhubung ke komponen sistem tingkat rendah, investigasi dan penghapusan manual bisa sangat sulit. Kami sangat menyarankan Anda untuk mencadangkan data penting Anda lalu mereset sistem operasi server untuk memastikan pembersihan yang lengkap. Langkah-langkahnya sebagai berikut:

    1. Buat snapshot untuk mencadangkan data penting di server. Untuk informasi lebih lanjut, lihat Create a snapshot for a disk.

    2. Inisialisasi ulang sistem operasi server. Untuk informasi lebih lanjut, lihat Re-initialize a system disk (reset an operating system).

    3. Gunakan snapshot untuk membuat disk cloud baru. Untuk informasi lebih lanjut, lihat Create a disk from a snapshot.

    4. Sambungkan disk cloud ke server dengan sistem yang telah diinstal ulang. Untuk informasi lebih lanjut, lihat Attach a data disk.

    Sistem Windows

    1. Di PowerShell, jalankan perintah berikut untuk menginvestigasi proses cryptomining mencurigakan berdasarkan penggunaan CPU.

       ps | sort -des cpu
 While(1) {ps | sort -des cpu | select -f 15 | ft -a; sleep 1; cls}

    2. Jalankan perintah berikut untuk melihat path executable dan argumen command-line dari proses cryptomining.

      wmic process where processid=xxx get processid,executablepath,commandline,name     // xxx is the process PID

    3. Hentikan proses cryptomining dan bersihkan file Trojan.

    4. Jalankan perintah berikut untuk memeriksa koneksi pada port jaringan mencurigakan.

      netstat -ano | findstr xxx            // xxx is the suspicious network port

    5. Jalankan perintah berikut untuk memeriksa apakah file hosts server berisi alamat mining pool dari program cryptomining.

      type  C:\Windows\System32\drivers\etc\hosts

    6. Jalankan perintah berikut untuk memeriksa apakah ada tugas terjadwal yang ditetapkan oleh program cryptomining.

      schtasks /query

    Beli Layanan Respons Darurat

    Alibaba Cloud menawarkan Layanan Respons Darurat di mana insinyur keamanan profesional dapat membantu Anda menyelesaikan masalah seperti infeksi virus. Layanan ini mencakup hal-hal berikut:

    • Pembersihan menyeluruh terhadap Trojan, virus, akun abnormal, file abnormal, webshell, tautan tersembunyi, dan masalah lainnya di sistem Anda.

    • Analisis metode intrusi penyerang untuk menentukan akar penyebabnya.

    • Panduan penguatan keamanan.

    Untuk informasi lebih lanjut, lihat Emergency Response Service.

    Reset sistem

    Jika virus telah sangat dalam menginfiltrasi sistem, masalah berulang setelah pembersihan manual, atau server tidak berisi data bisnis penting, kami merekomendasikan opsi ini karena merupakan solusi paling menyeluruh.

    1. Cadangkan data: Buat snapshot semua disk cloud di server untuk memastikan Anda dapat memulihkan data jika terjadi kesalahan operasional.

    2. Inisialisasi ulang disk sistem: Di Konsol ECS, pilih instans target dan lakukan operasi Re-initialize System Disk. Tindakan ini akan menghapus sepenuhnya disk sistem dan mengembalikannya ke kondisi awal.

    3. Pulihkan data:

      1. Gunakan snapshot yang telah dibuat sebelumnya untuk membuat disk data pay-as-you-go baru.

      2. Attach disk data baru ini ke server yang telah diinisialisasi ulang.

      3. Login ke server dan salin hanya data bisnis (seperti kode website dan file database) dari disk data yang dilampirkan.

        Penting

        Jangan memulihkan file executable, file konfigurasi sistem, atau skrip apa pun dari snapshot lama untuk menghindari reintroduksi backdoor.

    Verifikasi remediasi

    Setelah pembersihan, Anda harus memverifikasi hasilnya dan memperkuat sistem untuk memastikan keamanan serta mencegah infeksi ulang.

    1. Pindai lagi: Gunakan fitur Antivirus atau agentless detection di Security Center untuk melakukan pemindaian penuh terhadap server dan pastikan tidak ada peringatan.

    2. Monitor kinerja: Pantau terus utilisasi CPU server untuk memastikan telah kembali ke level normal.

    Penguatan keamanan

    • Aktifkan pertahanan proaktif terhadap perilaku host berbahaya: Fitur pertahanan proaktif yang disediakan oleh Security Center dapat secara akurat mencegat program cryptomining, sehingga mencegah insiden cryptomining sebelum terjadi. Untuk informasi lebih lanjut, lihat Proactive Defense.

    • Perkuat kontrol akses:

      • Terapkan prinsip hak istimewa minimal pada security group: Konfigurasikan security group ECS untuk membuka hanya port bisnis yang diperlukan (seperti 80 dan 443). Untuk port manajemen seperti SSH (22) dan RDP (3389), pastikan hanya dibuka untuk alamat IP tepercaya dan tetap, seperti jaringan kantor Anda atau IP bastion host.

      • Kebijakan kata sandi: Konfigurasikan kata sandi kuat untuk sistem database atau sistem file (MySQL, PolarDB, MaxCompute, Redis, NAS, Object Storage Service (OSS)), konsol manajemen layanan (seperti BT-Panel, Nacos), dan akun pengguna sistem operasi (SSH, RDP). Batasi jumlah percobaan kata sandi salah untuk mencegah intrusi brute-force.

    • Manajemen kerentanan dan patch:

      • Perbarui segera: Secara rutin terapkan patch keamanan terbaru ke sistem operasi dan perangkat lunak aplikasi Anda (seperti server web dan database).

      • Pemindaian kerentanan: Gunakan fitur pemindaian kerentanan di Security Center untuk secara proaktif menemukan dan memperbaiki kerentanan di sistem dan aplikasi Anda.

    • Perkuat keamanan aplikasi: Sebelum menerapkan kode bisnis, lakukan pengujian keamanan kode atau integrasikan dengan Web Application Firewall untuk mempertahankan diri dari serangan OWASP umum seperti SQL injection, XSS, kerentanan plugin server web umum, unggahan Trojan, dan akses tidak sah ke sumber daya inti. Hal ini membantu mencegah kompromi sistem melalui kerentanan aplikasi.

    • Keamanan kredensial: Hindari hardcoding AccessKey Alibaba Cloud di kode atau file konfigurasi Anda. Gunakan Peran RAM atau Peran RAM Instans untuk memberikan izin kepada aplikasi, mengikuti prinsip hak istimewa minimal. Untuk informasi lebih lanjut, lihat Securely use credentials.

    Biaya dan risiko

    • Biaya:

      • Security Center: Fitur lanjutan seperti Antivirus dan Deep Scan memerlukan edisi Anti-virus atau lebih tinggi. Uji coba gratis 7 hari tersedia.

      • Agentless Detection: Ini adalah layanan pay-as-you-go. Anda harus membeli fitur penagihan Agentless Detection secara terpisah.

      • Layanan Respons Darurat: Jika Anda tidak dapat menangani masalah sendiri, Anda dapat membeli Layanan Respons Darurat Alibaba Cloud untuk mendapatkan dukungan dari insinyur keamanan profesional.

    • Risiko:

      • Risiko pembersihan manual: Operasi manual dapat menyebabkan penghapusan tidak sengaja file sistem atau perubahan konfigurasi, yang dapat menyebabkan server gagal boot atau mengganggu operasi bisnis. Buat snapshot sebelum melakukan pembersihan manual apa pun.

      • Risiko kehilangan data: Menginisialisasi ulang disk sistem menghapus permanen semua data di disk sistem. Jika Anda tidak membuat snapshot sebelumnya, data tersebut tidak dapat dipulihkan.