全部产品
Search

搜索本产品

    Security Center:Praktik terbaik untuk menangani program penambangan

    文档中心

    Security Center:Praktik terbaik untuk menangani program penambangan

    更新时间:Dec 15, 2025

    Jika virus penambangan menyusup ke server, ia akan mengonsumsi sumber daya server, mengurangi efisiensi produksi, memengaruhi stabilitas sistem, dan menimbulkan ancaman serius bagi server yang terganggu. Anda harus segera menangani virus penambangan untuk memperkuat keamanan sistem. Topik ini menjelaskan cara menangani virus penambangan.

    Karakteristik program penambangan

    • Program penambangan dapat meningkatkan kecepatan CPU secara berlebihan, mengonsumsi sejumlah besar sumber daya CPU, dan memengaruhi aplikasi lain yang berjalan di server Anda.

    • Karakteristik program penambangan mirip dengan worm komputer. Setelah menyusup ke server, program tersebut menyebar ke server lain dalam jaringan internal yang sama. Setelah server terganggu, program penambangan mencapai persistensi pada server.

    • Program penambangan menyebar ke beberapa layanan sistem dan sulit untuk dihapus. Program ini dapat muncul kembali, dan perintah sistem dapat diganti dengan skrip jahat. Akibatnya, sistem mungkin menjalankan skrip jahat seperti XOR DDoS. Anda harus menghapus semua trojan dan webshell persisten dari server selama periode eksekusi program penambangan untuk mencegah kemunculan di masa mendatang.

    Tentukan apakah aset Anda mengandung program penambangan

    Setelah menerima peringatan penambangan atau menangani virus penambangan, gunakan metode berikut untuk menentukan apakah virus penambangan ada di server Anda:

    • Jika pemanfaatan CPU server Anda meningkat secara signifikan pada interval tertentu atau dalam waktu lama, seperti menjadi 80% atau lebih tinggi, dan proses tidak dikenal terus mengirimkan paket, program penambangan sedang berjalan di server Anda.

    • Jika agen Security Center terpasang di server Anda dan program penambangan menyusup, Security Center akan mengirimkan notifikasi peringatan melalui pesan teks atau email. Anda dapat menangani peringatan program penambangan di halaman Alert di konsol Security Center. Jika mining programs terkait dengan peringatan lain, seperti peringatan tentang communication with mining pools dan peringatan tentang access to malicious domain names, kami sarankan Anda juga menangani peringatan terkait. Untuk informasi lebih lanjut, lihat Lihat dan Tangani Peringatan.

      挖矿告警

    Solusi 1: Gunakan Security Center untuk menangani program penambangan

    Kami sarankan Anda menangani program penambangan secara berurutan. Operasi ini dapat menghentikan penyebaran program penambangan, mendeteksi dan menghapus program penambangan, serta memindai semua risiko. Anda juga dapat menyesuaikan urutan operasi atau memilih langkah-langkah tertentu berdasarkan kebutuhan bisnis Anda.

    Prasyarat

    Langkah 1: Tangani peringatan untuk menghentikan proses jahat

    Anda dapat menggunakan fitur peringatan Security Center untuk menghentikan proses jahat, mengkarantina file virus, dan memblokir program penambangan. Untuk informasi lebih lanjut, lihat Lihat dan Tangani Peringatan.

    1. Masuk ke Konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.

    2. Di panel navigasi sisi kiri, pilih Detection and Response > Alert.

    3. Temukan peringatan program penambangan yang ingin Anda tangani dan klik Details di kolom Tindakan untuk melihat detail peringatan.

      Penting

      Anda dapat mengidentifikasi program penambangan dan memeriksa apakah peringatan lain atau file mencurigakan ada di server berdasarkan informasi peringatan dan deskripsi peristiwa yang disediakan di konsol Security Center. Anda harus menentukan apakah file yang memicu peringatan penambangan adalah file bisnis atau file serangan. Jika file tersebut adalah file serangan, kami sarankan Anda menangani peringatan lain dan file mencurigakan di server setelah Anda menangani peringatan program penambangan.

    4. Kembali ke daftar peringatan dan tangani peringatan program penambangan.

      1. Klik Handle di kolom Actions.

      2. Di kotak dialog yang muncul, pilih Detect and Remove Virus sebagai metode penanganan, pilih Terminate Process atau Terminate Process and Quarantine Source File, lalu klik Handle Now untuk mencegah program penambangan dimulai ulang.

        Jika file yang memicu peringatan program penambangan tidak diperlukan dalam beban kerja Anda, kami sarankan Anda memilih Terminate Process and Quarantine Source File untuk mencegah infeksi lebih lanjut di server Anda.

        Security Center memungkinkan Anda menangani beberapa peringatan sekaligus. Jika Anda ingin menangani peringatan yang dipicu oleh aturan yang sama atau aturan tipe yang sama sekaligus, pilih Handle Same Type of Alerts.

    5. Di daftar peringatan, temukan peringatan yang terkait dengan aktivitas penambangan, seperti peringatan yang dihasilkan untuk komunikasi menggunakan kolam penambangan, dan klik Tangani di kolom Tindakan. Di kotak dialog yang muncul, pilih Block sebagai metode penanganan.

      Security Center menghasilkan kebijakan untuk mencegah server berkomunikasi dengan alamat IP kolam penambangan. Dengan cara ini, Anda memiliki cukup waktu untuk menangani peristiwa keamanan. Anda dapat menambahkan alamat IP kolam penambangan ke grup keamanan untuk memblokir alamat IP tersebut. Untuk informasi lebih lanjut tentang cara mengaktifkan port, lihat Tambahkan Aturan Grup Keamanan.

    6. Di daftar peringatan, lihat peringatan yang dihasilkan untuk proses mencurigakan, periksa apakah tugas terjadwal abnormal ada, lalu tangani peringatan.

      计划任务

    Langkah 2: Lakukan deteksi virus mendalam pada server dan hapus virus yang terdeteksi

    Setelah menghentikan proses jahat, kami sarankan Anda menggunakan fitur deteksi dan penghapusan virus dari Security Center untuk memindai aset Anda. Virus yang terdeteksi dan peringatan terkait ditampilkan di halaman Alert. Fitur ini dapat mendeteksi dan menghapus file jahat persisten seperti item startup otomatis dan tugas terjadwal. Untuk informasi lebih lanjut, lihat Gunakan Fitur Deteksi dan Penghapusan Virus.

    1. Masuk ke Konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.

    2. Di panel navigasi sebelah kiri, pilih Protection Configuration > Host Protection > Virus Detection and Removal.

    3. Di halaman Virus Detection and Removal, klik Immediate Scan atau Scan Again.

    4. Di panel Scan Settings, konfigurasikan parameter Mode Pemindaian dan Ruang Lingkup Pemindaian lalu klik OK.

      Anda dapat mengatur parameter Scan Mode ke Quick Scan dan parameter Scan Scope ke server yang diserang oleh program penambangan.

      image

    5. Tunggu hingga pemindaian selesai. Kemudian, temukan peringatan yang ingin Anda tangani di halaman Virus Detection and Removal dan klik Handle di kolom Actions.

    6. Di panel Alert Handling, pilih In-depth Cleanup dan klik Next.

      Sistem mulai menangani peringatan. Setelah proses selesai, Anda dapat melihat hasil penanganan dan status peringatan.

      image

    Langkah 3: Pindai semua disk

    Anda dapat menggunakan fitur deteksi tanpa agen yang disediakan oleh Security Center untuk memeriksa disk sistem dan disk data dari instance Elastic Compute Service (ECS). Fitur ini dapat mendeteksi program penambangan tetapi tidak dapat memperbaikinya. Anda harus menangani risiko secara manual berdasarkan deskripsi risiko yang disediakan oleh Security Center. Untuk informasi lebih lanjut, lihat Gunakan Fitur Deteksi Tanpa Agen.

    1. Masuk ke Konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola. Anda dapat memilih China atau Outside China.

    2. Di panel navigasi sisi kiri, pilih Protection Configuration > Host Protection > Agentless Detection.

    3. Di halaman Agentless Detection, klik tab Server Check lalu klik Create Detection Task.

    4. Di panel Create Detection Task, pilih instance ECS yang ingin Anda periksa dan klik Next.

    5. Konfigurasikan parameter Scan Scope dan Snapshot/Image Storage Time, lalu klik Next.

    6. Setelah tugas deteksi selesai, Anda dapat melihat hasil deteksi kerentanan, risiko dasar, peringatan, dan file sensitif.

      Kami sarankan Anda menangani risiko berdasarkan deskripsi risiko yang disediakan oleh Security Center.

      image

    Solusi 2: Tangani program penambangan secara manual

    Program penambangan dapat menyisipkan sejumlah besar webshell persisten ke server yang terganggu untuk mendapatkan keuntungan maksimal. Dalam kasus ini, virus sulit atau tidak dapat dihapus. Jika Anda belum membeli Security Center, Anda dapat melakukan operasi berikut untuk mendeteksi dan menangani program penambangan.

    Server Linux

    1. Blokir komunikasi jaringan jahat.

      Setelah Security Center mendeteksi aktivitas penambangan di server Anda, Anda mungkin memerlukan waktu lama untuk sepenuhnya menangani seluruh peristiwa penambangan. Untuk meminimalkan dampak secepat mungkin, Anda harus terlebih dahulu memblokir komunikasi jaringan trojan penambangan dan program jahat.

      1. Jalankan perintah berikut untuk memeriksa koneksi jaringan:

        netstat -antp

        image

      2. Ganti alamat c2 dalam perintah berikut dengan alamat asing yang tidak diperlukan dalam beban kerja Anda. Lalu, jalankan perintah untuk membuat aturan firewall untuk memblokir semua koneksi jaringan antara server dan alamat asing.

        iptables -A INPUT -s c2 address -j DROP
iptables -A OUTPUT -d c2 address -j DROP

    2. Hapus tugas terjadwal.

      Dalam banyak kasus, trojan penambangan diunduh atau diperbarui secara berkala dan dimulai menggunakan tugas terjadwal. Jika Anda hanya menghapus proses penambangan dan file trojan penambangan, program penambangan tidak dapat sepenuhnya dihapus dan peristiwa penambangan mungkin terjadi berulang kali.

      Anda dapat menjalankan perintah berikut untuk menanyakan tugas terjadwal. Dalam output perintah, jika Anda mengidentifikasi tugas unduhan dan tugas startup trojan penambangan dalam tugas terjadwal, hapus tugas tersebut.

      • Jalankan perintah berikut untuk menanyakan tugas terjadwal untuk pengguna saat ini dan pengguna tertentu. Ganti username dengan nama pengguna sebenarnya.

        crontab -l
crontab -u username -l

      • Periksa file berikut yang digunakan untuk tugas terjadwal di server:

        /etc/crontab
/var/spool/cron/
/etc/anacrontab
/etc/cron.d/
/etc/cron.hourly/
/etc/cron.daily/
/etc/cron.weekly/
/etc/cron.monthly/

    3. Hapus item startup otomatis.

      1. Jalankan perintah berikut untuk menanyakan semua item startup otomatis dalam sistem:

        systemctl list-unit-files | grep enabled

      2. Jalankan perintah berikut untuk menemukan file unit layanan layanan mencurigakan dan melihat detail layanan.

        Ganti tanda bintang (*) dengan nama layanan dan <service_unit_name> dengan nama file unit layanan.

        ls -al /etc/systemd/system/*.service
ls -al /usr/lib/systemd/system/*.service

# Lihat detail layanan dengan menanyakan file proses untuk memulai layanan.
cat /etc/systemd/system/<service_unit_name>.service

      3. Jika item startup otomatis jahat terdeteksi, jalankan perintah berikut untuk menonaktifkan layanan dan menghapus file unit layanan.

        Ganti <service name> dengan nama layanan dan <service_unit_name> dengan nama file unit layanan.

        systemctl disable <service name>
rm /etc/systemd/system/<service_unit_name>.service
rm /usr/lib/systemd/system/<service_unit_name>.service

      4. Periksa direktori layanan berikut untuk item startup otomatis. Jika item startup otomatis terdeteksi, ikuti operasi sebelumnya untuk menghapus item tersebut.

        /etc/rc.local
/etc/inittab
/etc/rc.d/
/etc/init.d/

    4. Hapus kunci publik SSH.

      Dalam banyak kasus, penyerang menggunakan trojan penambangan untuk menulis kunci publik SSH ke file ~/.ssh/authorized_keys. Kemudian, penyerang dapat masuk ke server yang terganggu melalui SSH tanpa perlu memasukkan kata sandi dan menyisipkan ulang file jahat. Dalam hal ini, Anda harus segera memeriksa file ~/.ssh/authorized_keys. Jika ada kunci publik mencurigakan, hapus kunci tersebut.

    5. Hapus file .so yang digunakan untuk penyusupan.

      Penyerang dapat menentukan file .so di file /etc/ld.so.preload untuk memuat file .so secara awal guna menyusupi perintah sistem umum. Dengan cara ini, penyerang dapat menyembunyikan program penambangan.

      1. Jalankan perintah berikut untuk memeriksa file .so yang dimuat sebelumnya:

        cat /etc/ld.so.preload

      2. Jalankan perintah berikut untuk membersihkan file .so yang dimuat sebelumnya dan digunakan untuk penyusupan:

        echo > /etc/ld.so.preload

    6. Hapus akun jahat.

      Beberapa keluarga trojan penambangan membuat akun webshell untuk kontrol jangka panjang atas server yang terganggu. Jalankan perintah berikut untuk memeriksa akun jahat. Jika akun jahat terdeteksi, hapus akun tersebut.

      • Jalankan perintah berikut untuk memeriksa operasi pembuatan akun dalam log:

        cat /var/log/audit/audit.log | grep useradd
# atau
cat /var/log/secure | grep 'new user'

      • Jalankan perintah berikut untuk menanyakan semua akun dari file /etc/passwd dan periksa akun mencurigakan:

        cut -d: -f1 /etc/passwd

      • Jalankan perintah berikut untuk memeriksa direktori home, terutama yang baru dibuat, untuk menentukan waktu pembuatan atau waktu aktif terakhir akun mencurigakan:

        stat /home/guest/

    7. Ambil tindakan anti-tampering.

      Beberapa trojan penambangan menulis file seperti file yang digunakan untuk tugas terjadwal dan item startup otomatis untuk mencapai persistensi dan mengonfigurasi atribut immutable pada file untuk mencegah penghapusan tugas persisten.

      image

      Jika Anda mengalami masalah serupa dengan gambar di atas, Anda dapat menjalankan perintah berikut untuk menghapus atribut immutable. Lalu, hapus tugas persisten.

      chattr -i /etc/passwd
chattr -i /etc/crontab

    8. Bersihkan proses penambangan.

      1. Proses penambangan dapat mengonsumsi sejumlah besar sumber daya CPU. Anda dapat menjalankan perintah berikut untuk memeriksa proses penambangan mencurigakan.

        • Jalankan perintah berikut untuk memeriksa proses yang mengonsumsi sejumlah besar sumber daya CPU di server:

          top -c

          image

          ps -eo pid,ppid,cmd,%cpu --sort=-%cpu | more

          image

        • Jalankan perintah berikut untuk memeriksa koneksi jaringan mencurigakan:

          netstat -antp

          image

        • Jalankan perintah berikut untuk menanyakan jalur file ke proses mencurigakan:

          ls -al /proc/$PID/exe

        • Jalankan perintah berikut untuk menghitung nilai hash MD5 file proses. Lalu, cari informasi file di Inteligensi Ancaman Alibaba Cloud.

          md5sum /proc/$PID/exe

          image

      2. Jalankan perintah berikut untuk menghentikan proses penambangan dan menghapus file yang dapat dieksekusi dari proses penambangan:

        kill -9 $PID
# Hapus jalur proses yang diperoleh dengan menjalankan perintah ls -al /proc/$PID/exe
rm /path/to/executable

    Server Linux (Penanganan peristiwa penambangan tertentu)

    Tangani proses penambangan yang disamarkan sebagai proses AliyunDuns milik Alibaba Cloud

    1. Jalankan perintah berikut untuk memeriksa item startup otomatis persisten:

      grep -rlE "\\-\\-donate\\-level|xmrig|\\/opt\\/sysetmd|A_li_yun_Duns" /etc/systemd/system/*
grep -rl "wget"  /etc/cron.hourly/*

    2. Jika hasil dikembalikan, jalankan perintah berikut untuk menghapus item startup otomatis:

      rm -f /etc/systemd/system/sysetmd.service
rm -f /etc/systemd/system/monero.service
rm -f /etc/systemd/system/A_li_yun_Duns.service
chattr -i /etc/cron.hourly/0
rm -f /etc/cron.hourly/0

    3. Identifikasi dan tangani pengguna sistem abnormal.

      1. Jalankan perintah berikut untuk menanyakan pengguna sistem dan identifikasi nama pengguna abnormal:

        cat /etc/passwd

      2. Jalankan perintah berikut untuk melihat informasi tentang pengguna sistem abnormal. Dalam contoh ini, pengguna sistem abnormal bernama shaojiang99.

        cat /etc/passwd | grep shaojiang99
cat /etc/shadow | grep shaojiang99

      3. Jalankan perintah berikut untuk menghapus pengguna sistem abnormal:

        chattr -i /etc/passwd
chattr -i /etc/shadow
sed -i '/^shaojiang99:/d' /etc/shadow
sed -i '/^shaojiang99:/d' /etc/passwd

    Tangani Skidmap

    1. Jalankan perintah berikut untuk menghapus item startup otomatis:

      echo "" > /lib/systemd/system/systemd-cgroup.service
echo "" > /lib/systemd/system/systemd-deltaed.service
echo "" > /usr/bin/systemd-cgroup.org
echo "" > /usr/bin/systemd-cgroup
echo "" > /usr/bin/systemd-deltaed
echo "" > /usr/bin/systemd-deltaed.org

    2. Pulihkan file authorized_keys tempat kunci publik SSH disimpan secara manual.

    Tangani cleanfda

    1. Buka jalur berikut ke tugas terjadwal dan periksa eksekusi skrip mencurigakan seperti /etc/upat.sh.

      /var/spool/cron/
/etc/cron.d/
/var/spool/cron/crontabs
/etc/crontab

    2. Periksa perintah yang dimodifikasi seperti ps, pstree, dan top. Perintah-perintah ini diubah namanya dengan menambahkan akhiran .original.

      ls -al /usr/bin | grep original

    3. Jalankan perintah berikut untuk menanyakan kunci publik SSH dan menghapus kunci mencurigakan:

      cat ~/.ssh/authorized_keys
cat /root/.ssh/authorized_keys

    Contoh:

    # Pulihkan perintah yang dimodifikasi
crondir='/var/spool/cron/'"$USER"
mv /bin/ps.original /bin/ps
mv /bin/top.original /bin/top
mv /bin/pstree.original /bin/pstree

# Pulihkan izin pengeditan pada file tugas terjadwal
chattr -R -ia /var/spool/cron
chattr -ia /etc/crontab
chattr -R -ia /var/spool/cron/crontabs
chattr -R -ia /etc/cron.d

# Hapus tugas terjadwal dan payload mencurigakan
sed -i '/upat.sh/d' /etc/crontab
rm -rf /etc/cron.d/httpd2
rm -rf /etc/upat.sh
rm -rf /tmp/upat.sh
rm -rf /etc/httpd2
rm -rf /tmp/httpd2

# Hapus kunci publik mencurigakan
sed -i '/cKtXBjj******hVI0K7b/d' ~/.ssh/authorized_keys
sed -i '/cKtXBjj******hVI0K7b/d' /root/.ssh/authorized_keys

    Tangani aktivitas penambangan Outlaw

    1. Periksa tugas cron lalu periksa apakah string .configrc5/ ada.

      • Periksa jalur berikut ke tugas terjadwal:

        /var/spool/cron/root
/var/spool/cron/
/etc/cron.d/
/var/spool/cron/crontabs
/etc/crontab

      • Jalankan perintah berikut untuk memeriksa apakah string .configrc5/ ada:

        grep -r ".configrc5/" /var/spool/cron/*
grep -r ".configrc5/" /etc/cron*

    2. Jika string tersebut ada, jalankan perintah berikut untuk menghapus file yang berisi string:

      rm -rf /tmp/.X2xi-unix/.rsync
rm -rf ~/.configrc5

    Tangani aktivitas penambangan kinsing

    1. Jalankan perintah berikut untuk memeriksa tugas cron. Lalu, periksa apakah konten serupa dengan gi.sh | bash > /dev/null ada di satu baris. Jika konten tersebut ada, hapus baris tersebut.

      grep -r "gi.sh | bash > /dev/null" /etc/cron*
grep -r "gi.sh | bash > /dev/null" /var/spool/cron/*

    2. Jalankan perintah berikut untuk memeriksa apakah layanan /lib/systemd/system/bot.service ada:

      cat /lib/systemd/system/bot.service

    3. Jika layanan tersebut ada, jalankan perintah berikut untuk menanyakan file /etc/ld.so.preload. Lalu, periksa apakah libsystem.so termasuk dalam file tersebut.

      cat /etc/ld.so.preload

    4. Jika jalur ke file libsystem.so ditemukan, hapus file ini.

    Server Windows

    1. Jalankan perintah berikut di PowerShell untuk mengidentifikasi program penambangan di antara proses-proses yang menyebabkan pemanfaatan CPU tinggi:

       ps | sort -des cpu
 While(1) {ps | sort -des cpu | select -f 15 | ft -a; sleep 1; cls}

    2. Jalankan perintah berikut untuk menanyakan file yang dapat dieksekusi program penambangan dan parameter dalam perintah yang digunakan untuk memulai program penambangan:

      wmic process where processid=xxx get processid,executablepath,commandline,name     ///xxx menunjukkan ID proses (PID).

    3. Hentikan proses penambangan dan hapus file yang dapat dieksekusi dari proses penambangan.

    4. Jalankan perintah berikut untuk mendeteksi port mencurigakan di server Anda:

      netstat -ano | findstr xxx            // xxx menunjukkan port mencurigakan.

    5. Jalankan perintah berikut untuk memeriksa apakah file hosts di server berisi alamat kolam penambangan tempat program penambangan berasal:

      type  C:\Windows\System32\drivers\etc\hosts

    6. Jalankan perintah berikut untuk memeriksa apakah tugas terjadwal yang ditentukan oleh program penambangan ada di server Anda:

      schtasks /query

    Metode lainnya

    Jika komponen sistem dasar server Anda terpengaruh oleh virus, Anda mungkin gagal menyelesaikan masalah atau menghapus virus. Setelah Anda mencadangkan data penting, kami sarankan Anda me-reset sistem operasi server untuk memastikan bahwa program penambangan sepenuhnya dihapus. Untuk menggunakan metode ini, lakukan operasi berikut:

    1. Buat snapshot untuk mencadangkan data di server Anda. Untuk informasi lebih lanjut, lihat Buat Snapshot.

    2. Inisialisasi ulang sistem operasi server. Untuk informasi lebih lanjut, lihat Re-inisialisasi Disk Sistem (Reset Sistem Operasi).

    3. Buat disk berdasarkan snapshot. Untuk informasi lebih lanjut, lihat Buat Disk Data dari Snapshot.

    4. Pasang disk ke server setelah sistem operasi diinstal ulang. Untuk informasi lebih lanjut, lihat Pasang Disk Data.

    Solusi 3: Beli layanan respons darurat

    Alibaba Cloud menyediakan layanan respons darurat yang dilakukan oleh ahli keamanan untuk membantu Anda menyelesaikan masalah seperti infeksi virus. Daftar berikut menjelaskan isi layanan:

    • Menghapus trojan, virus, akun mencurigakan, file mencurigakan, webshell, dan tautan tersembunyi dari sistem.

    • Menganalisis perilaku intrusi dan mengidentifikasi penyebab intrusi.

    • Memberikan panduan tentang penguatan keamanan.

    Untuk informasi lebih lanjut, lihat Layanan Tanggap Insiden.

    Lakukan penguatan keamanan

    Aktifkan fitur pertahanan perilaku host jahat

    Untuk mencegah kembalinya peristiwa penambangan yang disebabkan oleh program penambangan residu, Security Center menyediakan fitur pertahanan perilaku host jahat untuk secara akurat memblokir program penambangan. Untuk informasi lebih lanjut, lihat Gunakan Pertahanan Proaktif.

    Untuk mengaktifkan fitur ini, nyalakan Pencegahan Perilaku Host Jahat di halaman Pengaturan Fitur di konsol Security Center, seperti yang ditunjukkan pada gambar berikut.

    image

    Gambar berikut menunjukkan halaman detail peringatan tentang program penambangan yang secara otomatis diblokir oleh Security Center.

    image

    Tingkatkan keamanan host

    • Instal Ulang Sistem Operasi: Setelah program penambangan menyerang server Anda, file sistem sering dimodifikasi atau diganti karena ancaman keamanan residu di sistem. Dalam hal ini, sistem menjadi tidak dapat dipercaya, dan kami sarankan Anda menginstal ulang sistem operasi.

    • Kurangi Paparan Serangan: Anda dapat menggunakan grup keamanan ECS, daftar putih Server Load Balancer (SLB), dan Cloud Firewall untuk membatasi port layanan yang tidak perlu terpapar ke Internet. Hanya port layanan yang diperlukan yang dibuka untuk akses oleh alamat IP tepercaya.

    • Lakukan Penguatan Keamanan pada Sistem Host: Anda dapat mengonfigurasi kata sandi kompleks untuk sistem database seperti MySQL, PolarDB, MaxCompute, dan Redis, sistem file seperti penyimpanan terpasang jaringan (NAS) dan Object Storage Service (OSS), sistem manajemen layanan latar belakang seperti BT-Panel dan Nacos, serta kata sandi pengguna sistem operasi seperti kata sandi SSH dan kata sandi Remote Desktop (RDP). Anda juga dapat membatasi jumlah percobaan untuk kata sandi salah untuk mencegah kebocoran kata sandi.

    • Perbaiki Kerentanan Umum: Jika Anda menggunakan versi aplikasi yang lebih lama dan sejumlah besar kerentanan aplikasi belum diperbaiki, program penambangan dapat menyusup ke server Anda. Kami sarankan Anda memperhatikan intelijen kerentanan keamanan dan memperbaiki kerentanan aplikasi, kerentanan darurat, dan kerentanan sistem sesegera mungkin.

    • Tingkatkan Keamanan Bisnis: Sebelum Anda mempublikasikan kode bisnis, Anda dapat melakukan pengujian keamanan kode atau menggunakan Web Application Firewall (WAF) untuk mempertahankan serangan umum yang terdaftar oleh Open Worldwide Application Security Project (OWASP), seperti injeksi SQL, cross-site scripting (XSS), kerentanan plugin server web umum, unggahan Trojan, dan akses tidak sah ke sumber daya inti. Ini mencegah bug sistem bisnis dieksploitasi.

    Gunakan kredensial aman

    Jika kredensial akun Alibaba Cloud dan pengguna Resource Access Management (RAM) bocor, itu dapat menyebabkan risiko keamanan bagi sumber daya cloud dan bisnis. Kami sarankan Anda menggunakan kredensial Anda secara aman. Untuk informasi lebih lanjut, lihat Solusi Keamanan Kredensial.

    Apa yang harus dilakukan selanjutnya