マイニングプログラム対策ベストプラクティス - Security Center

このドキュメントでは、即時の封じ込め、根本原因分析、クリーンアップ、および長期的なセキュリティ強化について説明し、ビジネス運用を復旧し、将来の感染を防ぐのに役立ちます。

利用シーン

クリプトマイニングプログラムの危険性
- リソースの消費とパフォーマンスの低下：クリプトマイニングプログラムは、暗号通貨をマイニングするために必要な集中的な計算のために、膨大な CPU リソースを消費します。これにより、CPU パフォーマンスが著しく低下し、サーバー上の他のビジネスアプリケーションの正常な運用に直接影響を与える可能性があります。
  ワームのような拡散：セキュリティ境界が一度突破されると、クリプトマイニングマルウェアは内部ネットワーク内で水平移動し、急速に拡散する可能性があります。侵害されたサーバー上に永続化メカニズムを確立し、長期的な利益を確保します。
  駆除の困難さ：クリプトマイニングプログラムはしばしば連携した保護メカニズムを採用しているため、不完全な駆除は再発感染につながる可能性があります。xorddos などの一部の亜種は、システムコマンドを置き換えることもあり、標準のシステムコマンドを実行すると悪意のあるスクリプトが実行され、駆除がさらに困難になります。
クリプトマイニング活動の特定
- 急激なパフォーマンス低下：サーバーの CPU 使用率が定期的または継続的に 80% を超え、ビジネスアプリケーションの応答が遅くなったり、利用できなくなったりします。
- システム安定性の低下：クリプトマイニングプログラムによる高い計算負荷は、システムクラッシュやサービス中断につながる可能性があります。
- セキュリティアラートの受信：Security Center は、クリプトマイニングプログラムの活動、マイニングプールとの通信、または悪意のあるドメイン名へのアクセスを検出すると通知を送信します。
対応戦略
このシナリオでは、主な目的は、クリプトマイニングプログラムとその永続化バックドアを完全に駆除し、サーバーのパフォーマンスを正常に戻し、将来の侵害を防ぐためのセキュリティ強化を実施することです。

仕組み

このガイドは、発見、封じ込め、クリーンアップ、強化というインシデント対応モデルに従います。さまざまな技術スキルとビジネスニーズを持つユーザーに合わせて、3 つの修復パスを提供します。

迅速な自己チェックと緊急封じ込め：このフェーズの目標は、脅威を特定し、状況をできるだけ早く制御して、さらなる被害を防ぐことです。主なアクションには、異常なプロセスとネットワーク接続の特定、およびセキュリティグループを使用したネットワーク分離が含まれます。
決定とパスの選択：技術的な専門知識、時間の制約、リスク許容度に基づいて、次の 3 つのオプションから最適なクリーンアップパスを選択します。
- Security Center による自動クリーンアップ：これは推奨されるオプションです。Security Center が提供する自動ツールを使用して、アラートの処理、ウイルススキャン、永続化バックドアの駆除を効率的かつ正確に行います。
- 専門家による手動クリーンアップ：このオプションは、Linux/Windows の運用およびメンテナンスに関する豊富な経験を持つ専門家に適しています。手動調査とコマンド実行による詳細なシステムクリーンアップが含まれます。
- システムのリセット：感染が根深い場合や再発する場合は、データをバックアップし、システムディスクを再初期化して、脅威を根本から排除します。
検証とセキュリティ強化：クリーンアップ後、システムが正常に動作していることを確認し、セキュリティ強化策を実施します。

操作手順

迅速な自己チェックと緊急封じ込め

アラートを受信したり、サーバーの異常なパフォーマンスに気づいた場合は、初期診断と緊急封じ込めのために次の操作を実行します。

異常なプロセスとネットワーク接続の特定
- 高 CPU プロセスの確認：サーバーにログインし、top -c または ps -eo pid,ppid,cmd,%cpu --sort=-%cpu | more コマンドを実行して、長期間にわたって高い CPU リソースを消費している不明なプロセスを見つけます。
- 不審なネットワーク接続の確認：ss -ntp または netstat -antp コマンドを実行して、不明なリモートアドレスへの接続、特に 3333、5555、7777 などの一般的なマイニングプールポートへの接続を確認します。
緊急封じ込めの実行
- ネットワーク分離 (推奨)：これは、脅威を封じ込めるための最も迅速で安全な方法です。直ちに Elastic Compute Service (ECS) コンソールにログインし、サーバーのセキュリティグループルールを変更し、アウトバウンドルールをすべてのトラフィックを拒否するように設定します。信頼できる IP アドレスからのリモートログインポート (SSH 22 や RDP 3389 など) のみアクセスを許可します。この操作により、クリプトマイニングプログラムとマイニングプール間の通信が即座に遮断されます。
- 悪意のあるプロセスの終了：特定された悪意のあるプロセスに対して、kill -9 <PID> コマンドを実行して終了させます。これは一時的な措置であることに注意してください。永続化メカニズムが削除されない限り、プロセスは再起動する可能性があります。

クリーンアップの実行

状況に応じて、次のいずれかのクリーンアップ方法を選択します。

自動クリーンアップ

前提条件

Security Center のウイルス対策、アドバンスト、エンタープライズ、または Ultimate エディションを購入済みであること。
説明
7 日間の無料トライアルを有効化して、関連機能を使用することもできます。
フルスキャンを実行するには、従量課金制サービスである Agentless Detection 機能を有効にする必要があります。
ターゲットサーバー上の Security Center エージェントがオンラインであることを確認します。

ステップ 1：アラートの処理とプロセスの終了

Security Center の セキュリティアラートの処理 機能を使用して、悪意のあるプロセスを終了し、ウイルスファイルを隔離して、クリプトマイニングプログラムを迅速に停止します。詳細については、「セキュリティアラートの評価と処理」をご参照ください。以下の手順は一例です。

Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、レスポンス検出 > アラート を選択します。コンソールの左上隅で、アセットが配置されているリージョンを選択します：Chinese Mainland または Outside Chinese Mainland。
クリプトマイニングアラートを見つけ、[操作] 列の詳細をクリックしてアラートの詳細を表示します。
重要
基本情報、イベントの説明、クリプトマイニングプログラムを特定し、他のアラートや不審なファイルを確認できます。アラートをトリガーしたファイルが正当なビジネスファイルか、攻撃者によって実行されたファイルかを判断する必要があります。攻撃であることが確認された場合は、クリプトマイニングアラートを処理した後、サーバー上の他のすべてのアラートと不審なファイルを処理します。
[アラート] ページに戻り、クリプトマイニングアラートを処理します。
1. 対象のクリプトマイニングアラートの処理列にある 操作する をクリックします。
2. [アラートの処理] ダイアログボックスで、処理方法として ウイルスの検出と除去 を選択します。次に、Terminate Process または Terminate Process and Quarantine Source File を選択し、今すぐ処理 をクリックしてプログラムの再実行を防ぎます。
  アラートの原因となったファイルがビジネスファイルでないことを確認した場合は、Terminate Process and Quarantine Source File を選択して、ウイルスがサーバーにさらに感染するのを防ぎます。
  Security Center は Batch Handle Same Alerts 機能をサポートしています。同じルールまたはタイプによってトリガーされたアラートを一括処理する必要がある場合は、Batch Handle Same Alerts を選択できます。
[アラート] ページで、マイニングプールの通信など、クリプトマイニングイベントによって生成された関連アラートを見つけ、[ブロック] 操作を実行します。
Security Center は、サーバーがマイニングプールにアクセスするのを防ぐための対応するポリシーを生成します。これにより、セキュリティイベントを処理するための十分な時間が得られます。また、セキュリティグループにマイニングプールの IP アドレスを手動で追加してアクセスをブロックすることもできます。セキュリティグループルールの追加方法の詳細については、「セキュリティグループルールの追加」をご参照ください。
[アラート] ページで、プロセスの動作に関する異常アラートを確認し、異常な定期タスクがあるかどうかを判断し、それらのアラートを適宜処理します。

ステップ 2：詳細スキャンとクリーンアップ

悪意のあるプロセスが終了した後も、自動起動サービスや定期タスクなどの永続化メカニズムが残っている可能性があります。Security Center のウイルス対策機能を使用して、それらをスキャンしてクリーンアップします。詳細については、「ウイルス対策」をご参照ください。以下の手順は一例です。

Security Center コンソールにログインします。左側のナビゲーションウィンドウで、保護設定 > ホスト保護 > ウイルスの検出と除去 を選択します。コンソールの左上隅で、アセットが配置されているリージョンを選択します：Chinese Mainland または Outside Chinese Mainland。
ウイルスの検出と除去 ページで、今すぐスキャン または 再スキャン をクリックします。
スキャンの設定 パネルで、スキャンモードとスキャン範囲を設定し、OK をクリックします。
- スキャンモード：クイックスキャン を選択します。
- Scan Scope：クリプトマイニングプログラムに侵害されたサーバーを選択します。
スキャンが完了したら、ウイルスの検出と除去 ページで、対象アラートの処理列にある 操作する をクリックします。
Alert Handling パネルで、Deep Cleanup を選択し、次へをクリックして、システムがアラートを処理するのを待ちます。
アラートが処理された後、[アラート] ページで結果とアラートステータスを表示します。

ステップ 3：フルスキャン

残存ファイルがないことを確認するために、エージェントレス検出機能を使用してオフラインのフルディスクスキャンを実行できます。この機能は検出のみをサポートし、修復はサポートしていません。提供された詳細に基づいて、検出されたリスクを手動で処理する必要があります。詳細については、「エージェントレス検出」をご参照ください。

Security Center コンソールにログインします。アセットが配置されているリージョンを選択します：Chinese Mainland または Outside Chinese Mainland。
エージェントレス検出 > Server Check タブの Risk Detection セクションで、今すぐ診断 をクリックします。
今すぐ診断 パネルで、次の表で説明されているように設定を構成し、OK をクリックします。
- Scan Scope：データディスクをスキャンすることをお勧めします。より完全なデータソースは、脆弱性やアラートに対してより良い検出結果を提供します。
- Image Retention Duration：
  - 値は 1 から 365 日の範囲で指定できます。
  - イメージの作成には料金がかかります。イメージを保持する期間が長いほど、料金は高くなります。
    重要
    Retain Only At-risk Image を選択すると、スキャン完了後に脅威のないイメージが自動的に削除されます。
タスクを作成すると、Security Center は自動的にイメージを作成し、スキャンおよび後続の操作を実行します。詳細については、「スナップショットとイメージの自動作成」をご参照ください。
説明
サーバーのデータが多いほど、スキャンタスクにかかる時間は長くなります。タスクが完了するまでお待ちください。
検出タスクが完了したら、検出された脆弱性リスク、ベースラインチェックの失敗、セキュリティアラート、および機密ファイルを確認して処理します。

手動修復

クリプトマイニングプログラムは利益を最大化するために、多数の永続化バックドアを作成し、駆除を困難にします。Security Center のサブスクリプションなしでクリプトマイニングウイルスに遭遇した場合、以下の対策を講じて調査および処理することができます。

重要

この方法には、ファイルと構成の変更が含まれます。続行する前に、サーバーのディスクのスナップショットを作成して、操作エラーが発生した場合にデータを復元できるようにしてください。

Linux システム

悪意のあるネットワーク通信をブロックします。
ホストでクリプトマイニング活動を発見した後、最初のステップはクリプトマイニングトロイの木馬のネットワーク通信をブロックして、影響を即座に制御することです。完全な修復には時間がかかる場合があります。
1. 次のコマンドを実行して、現在のシステムネットワーク接続を確認します。
```
netstat -antp
```
2. 次のコマンドで、C&C address を、通常のビジネス運用で使用されていない不審な外部アドレスに置き換えます。次に、コマンドを実行してファイアウォールルールを追加し、サーバーと不審なアドレス間のすべてのネットワーク接続をブロックします。
```
iptables -A INPUT -s C&C address -j DROP
iptables -A OUTPUT -d C&C address -j DROP
```
定期タスクのクリア
クリプトマイニングトロイの木馬は、定期タスクを使用してトロイの木馬を定期的にダウンロード (更新) および開始することがよくあります。プロセスとトロイの木馬ファイルを単にクリーンアップするだけでは、プログラムを根絶するには不十分であり、再発感染につながる可能性があります。
以下の定期タスクファイルを調査し、クリプトマイニングトロイの木馬のダウンロードまたは開始に関連するタスクを削除します。
- 現在のユーザーまたは指定されたユーザー (username) の定期タスクを表示します。
```
crontab -l
crontab -u username -l
```
- ホスト上のすべての定期タスクファイル。
```
/etc/crontab
/var/spool/cron/
/etc/anacrontab
/etc/cron.d/
/etc/cron.hourly/
/etc/cron.daily/
/etc/cron.weekly/
/etc/cron.monthly/
```
自動起動サービスのクリア
1. 次のコマンドを実行して、システム上のすべての自動起動サービスを調査します。
```
systemctl list-unit-files | grep enabled
```
2. 不審なサービスのユニットファイルを見つけ、その詳細を確認します。
  * をサービス名に、<service_unit_name> をサービスユニットファイル名に置き換えます。
```
ls -al /etc/systemd/system/*.service
ls -al /usr/lib/systemd/system/*.service

# サービスの詳細 (サービスによって開始されるプロセスファイル) を表示
cat /etc/systemd/system/<service_unit_name>.service
```
3. 悪意のある自動起動サービスを見つけた場合は、次のコマンドを使用してサービスを無効にし、そのユニットファイルを削除します。
  <service name> をサービス名に、<service_unit_name> をサービスユニットファイル名に置き換えます。
```
systemctl disable <service name>
rm /etc/systemd/system/<service_unit_name>.service
rm /usr/lib/systemd/system/<service_unit_name>.service
```
4. 以下のサービスパスで自動起動サービスを調査し、上記の手順でクリーンアップします。
```
/etc/rc.local
/etc/inittab
/etc/rc.d/
/etc/init.d/
```
SSH 公開鍵のクリア
クリプトマイニングトロイの木馬は、攻撃者の SSH 公開鍵を ~/.ssh/authorized_keys ファイルに追加することがよくあります。これにより、攻撃者はパスワードなしで侵害されたホストにログインし、悪意のあるファイルを再インストールできます。~/.ssh/authorized_keys ファイルを調査し、不審な公開鍵を直ちに削除します。
.so ハイジャックを解消する。
/etc/ld.so.preload ファイルを介して設定された、プリロードされた .so ファイルは、top、ps、netstat などの一般的なシステムコマンドをハイジャックして、クリプトマイニングプロセスを隠すことができます。
1. 次のコマンドを実行して、プリロードされた .so ファイルを調査します。
```
cat /etc/ld.so.preload
```
2. 次のコマンドを実行して、プリロードハイジャックを削除します。
```
echo > /etc/ld.so.preload
```
悪意のあるアカウントのクリア
一部のクリプトマイニングトロイの木馬ファミリーは、侵害されたホストの長期的な制御を維持するために、新しいバックドアアカウントを作成します。次のコマンドを実行して悪意のあるアカウントを確認し、関連するアカウント情報を手動で削除します。
- ログで最近のアカウント作成アクティビティを確認します。
```
cat /var/log/audit/audit.log | grep useradd
# または
cat /var/log/secure | grep 'new user'
```
- /etc/passwd ファイルで不審なアカウントを確認します。
```
cut -d: -f1 /etc/passwd
```
- アカウントの home ディレクトリの作成時刻または最終アクティブ時刻を確認します。最近作成された home ディレクトリに特に注意してください。
```
stat /home/guest/
```
改ざん防止技術への対策
定期タスクや自動起動サービスなどの永続化ファイルを書き込んだ後、一部のクリプトマイニングトロイの木馬は、永続化メカニズムが削除されるのを防ぐために、ファイルに不変属性を設定します。
上の画像に示すように、この状況に遭遇した場合は、ファイルまたはタスクを削除する前に、次のコマンドを実行して不変属性を削除します。
```
chattr -i /etc/passwd
chattr -i /etc/crontab
```
クリプトマイニングトロイの木馬プロセスの強制終了
1. クリプトマイニングプロセスは通常、高い CPU リソースを消費します。次のコマンドを使用して、不審なクリプトマイニングプロセスを調査できます。
  - ホストの CPU を大量に消費しているプロセスを調査します。
```
top -c
```
```
ps -eo pid,ppid,cmd,%cpu --sort=-%cpu | more
```
  - 異常なネットワーク接続の動作を調査します。
```
netstat -antp
```
  - 不審なプロセスのファイルパスを取得します。
```
ls -al /proc/$PID/exe
```
  - プロセスファイルの MD5 ハッシュを計算し、Alibaba Cloud 脅威インテリジェンスプラットフォームで検索します。
```
md5sum /proc/$PID/exe
```
2. 次のコマンドを実行して、クリプトマイニングプロセスを終了し、トロイの木馬ファイルをクリーンアップします。
```
kill -9 $PID
# ls -al /proc/$PID/exe から取得したプロセスパスを削除
rm /path/to/executable
```

Linux (特定のケース)

AliyunDuns に偽装したクリプトマイニング

次のコマンドを実行して、永続的な自動起動エントリを調査します。

grep -rlE "\\-\\-donate\\-level|xmrig|\\/opt\\/sysetmd|A_li_yun_Duns" /etc/systemd/system/*
grep -rl "wget"  /etc/cron.hourly/*

結果が見つかった場合は、自動起動サービスが存在します。次のコマンドを実行して削除します。

rm -f /etc/systemd/system/sysetmd.service
rm -f /etc/systemd/system/monero.service
rm -f /etc/systemd/system/A_li_yun_Duns.service
chattr -i /etc/cron.hourly/0
rm -f /etc/cron.hourly/0

不審なユーザーを調査して処理します。
1. 次のコマンドを実行してシステムユーザーリストをクエリし、不審なユーザー名を特定します。
```
cat /etc/passwd
```
2. 次のコマンドを実行して、異常なシステムユーザーに関する情報を表示します。この例では、ユーザーは shaojiang99 です。
```
cat /etc/passwd | grep testuser
cat /etc/shadow | grep testuser
```
3. 次のコマンドを実行して、不審なシステムユーザーを削除します。
```
chattr -i /etc/passwd
chattr -i /etc/shadow
sed -i '/^shaojiang99:/d' /etc/shadow
sed -i '/^shaojiang99:/d' /etc/passwd
```

Skidmap の手動修復

次のコマンドを実行して、自動起動サービスのエントリを削除します。

echo "" > /lib/systemd/system/systemd-cgroup.service
echo "" > /lib/systemd/system/systemd-deltaed.service
echo "" > /usr/bin/systemd-cgroup.org
echo "" > /usr/bin/systemd-cgroup
echo "" > /usr/bin/systemd-deltaed
echo "" > /usr/bin/systemd-deltaed.org

SSH 公開鍵ファイル authorized_keys を手動でクリーンアップし、不審なキーを削除します。

Cleanfda の手動修復

次の定期タスクパスで、/etc/upat.sh などの不審なスクリプトの実行を調査します。
```
/var/spool/cron/
/etc/cron.d/
/var/spool/cron/crontabs
/etc/crontab
```
変更されたコマンドを調査します (元のプログラム、例えば ps、pstree、top は、接尾辞 .original で名前が変更されます)。
```
ls -al /usr/bin | grep original
```
SSH 公開鍵を調査し、不明なキーを削除します。
```
cat ~/.ssh/authorized_keys
cat /root/.ssh/authorized_keys
```

例：

# 変更されたコマンドを復元
crondir='/var/spool/cron/'"$USER"
mv /bin/ps.original /bin/ps
mv /bin/top.original /bin/top
mv /bin/pstree.original /bin/pstree

# 定期タスクファイルの編集権限を復元
chattr -R -ia /var/spool/cron
chattr -ia /etc/crontab
chattr -R -ia /var/spool/cron/crontabs
chattr -R -ia /etc/cron.d

# 不審な定期タスクとペイロードを削除
sed -i '/upat.sh/d' /etc/crontab
rm -rf /etc/cron.d/httpd2
rm -rf /etc/upat.sh
rm -rf /tmp/upat.sh
rm -rf /etc/httpd2
rm -rf /tmp/httpd2

# 不審な公開鍵を削除
sed -i '/cKtXBjj******hVI0K7b/d' ~/.ssh/authorized_keys
sed -i '/cKtXBjj******hVI0K7b/d' /root/.ssh/authorized_keys

Outlaw ファミリーのクリプトマイニング

すべての cron 定期タスクで、文字列 .configrc5/ を調査します。

定期タスクのパス：

/var/spool/cron/root
/var/spool/cron/
/etc/cron.d/
/var/spool/cron/crontabs
/etc/crontab

次のコマンドを実行して調査します。

grep -r ".configrc5/" /var/spool/cron/*
grep -r ".configrc5/" /etc/cron*

見つかった場合は、次のコマンドを実行して関連ファイルを削除します。
```
rm -rf /tmp/.X2xi-unix/.rsync
rm -rf ~/.configrc5
```

kinsing ファミリーのクリプトマイニング

次のコマンドを実行して cron 定期タスクを調査します。gi.sh | bash > /dev/null のような内容を探します。存在する場合は、その行を削除します。
```
grep -r "gi.sh | bash > /dev/null" /etc/cron*
grep -r "gi.sh | bash > /dev/null" /var/spool/cron/*
```
次のコマンドを実行して、/lib/systemd/system/bot.service サービスが存在するかどうかを確認します。
```
cat /lib/systemd/system/bot.service 
```
サービスが存在する場合は、次のコマンドを実行して /etc/ld.so.preload に libsystem.so ファイルがあるかどうかを確認します。
```
cat /etc/ld.so.preload
```
libsystem.so ファイルのパスを特定した後、libsystem.so ファイルを削除します。

その他の方法

ウイルスがシステムに深く侵入し、低レベルのシステムコンポーネントにリンクしている場合、手動での調査と削除は非常に困難になる可能性があります。重要なデータをバックアップしてから、サーバーのオペレーティングシステムをリセットして、完全なクリーンアップを確実にすることをお勧めします。手順は次のとおりです。

スナップショットを作成して、サーバー上の重要なデータをバックアップします。詳細については、「ディスクのスナップショットの作成」をご参照ください。
サーバーのオペレーティングシステムを再初期化します。詳細については、「システムディスクの再初期化 (オペレーティングシステムのリセット)」をご参照ください。
スナップショットを使用して新しいクラウドディスクを作成します。詳細については、「スナップショットからのディスクの作成」をご参照ください。
再インストールされたシステムのサーバーにクラウドディスクをアタッチします。詳細については、「データディスクのアタッチ」をご参照ください。

Windows システム

PowerShell で、次のコマンドを実行して、CPU 使用率に基づいて不審なクリプトマイニングプロセスを調査します。
```
 ps | sort -des cpu
 While(1) {ps | sort -des cpu | select -f 15 | ft -a; sleep 1; cls}
```
次のコマンドを実行して、クリプトマイニングプロセスの実行可能パスとコマンドライン引数を表示します。
```
wmic process where processid=xxx get processid,executablepath,commandline,name     // xxx はプロセスの PID です
```
クリプトマイニングプロセスを終了し、トロイの木馬ファイルをクリーンアップします。
次のコマンドを実行して、不審なネットワークポートでの接続を確認します。
```
netstat -ano | findstr xxx            // xxx は不審なネットワークポートです
```
次のコマンドを実行して、サーバーの hosts ファイルにクリプトマイニングプログラムのマイニングプールアドレスが含まれているかどうかを確認します。
```
type  C:\Windows\System32\drivers\etc\hosts
```
次のコマンドを実行して、クリプトマイニングプログラムによって設定された定期タスクを確認します。
```
schtasks /query
```

緊急対応サービスの購入

Alibaba Cloud は、プロのセキュリティエンジニアがウイルス感染などの問題解決を支援する緊急対応サービスを提供しています。このサービスには以下が含まれます。

システム内のトロイの木馬、ウイルス、異常なアカウント、異常なファイル、Web シェル、隠しリンク、その他の問題の包括的なクリーンアップ。
攻撃者の侵入方法を分析し、根本原因を特定。
セキュリティ強化に関するガイダンス。

詳細については、「緊急対応サービス」をご参照ください。

システムのリセット

ウイルスがシステムに深く侵入している場合、手動クリーンアップ後に問題が再発する場合、またはサーバーに重要なビジネスデータが含まれていない場合は、これが最も徹底的なソリューションであるため、このオプションをお勧めします。

データのバックアップ：操作エラーが発生した場合にデータを復元できるように、サーバー上のすべてのクラウドディスクのスナップショットを作成します。
システムディスクの再初期化：ECS コンソールで、ターゲットインスタンスを選択し、システムディスクの再初期化操作を実行します。この操作により、システムディスクが完全に消去され、初期状態に復元されます。
データの復元：
1. 以前に作成したスナップショットを使用して、新しい従量課金データディスクを作成します。
2. この新しく作成したデータディスクを、再初期化されたサーバーにアタッチします。
3. サーバーにログインし、アタッチされたデータディスクからビジネスデータ (ウェブサイトのコードやデータベースファイルなど) のみをコピーします。
  重要
  バックドアの再導入を避けるため、古いスナップショットから実行可能ファイル、システム構成ファイル、またはスクリプトを復元しないでください。

修正の確認

クリーンアップ後、結果を確認し、システムを強化してセキュリティを確保し、再感染を防止する必要があります。

再スキャン：Security Center の [アンチウイルス] または [エージェントレス検出] 特徴量を使用して、サーバーのフルスキャンを実行し、アラートがないことを確認します。
パフォーマンスを監視：サーバーの CPU 使用率を継続的に監視し、通常レベルに戻ったことを確認します。

セキュリティ強化

悪意あるホスト動作に対する能動的防御の有効化： Security Center が提供する能動的防御機能により、マイニングプログラムを正確に遮断し、暗号通貨マイニングインシデントを未然に防止できます。詳細については、「能動的防御」をご参照ください。
アクセスの制御の強化：
- セキュリティグループへの最小権限の原則の適用：ECS セキュリティグループ を構成し、必要な業務ポート（例：80、443）のみを開放します。SSH（22）や RDP（3389）などの管理ポートについては、信頼された固定 IP アドレス（例：オフィスネットワークまたはバスタイオンホストの IP アドレス）からのみアクセスを許可します。
- パスワードポリシー：データベースシステムやファイルシステム（MySQL、PolarDB、MaxCompute、Redis、NAS、Object Storage Service (OSS)）、サービス管理コンソール（BT-Panel、Nacos など）、およびオペレーティングシステムのユーザーアカウント（SSH、RDP）に対して、強力なパスワードを設定します。不正なパスワード入力試行回数を制限し、ブルートフォース攻撃による侵入を防止します。
脆弱性およびパッチ管理：
- 迅速な更新：オペレーティングシステムおよびアプリケーションソフトウェア（Web サーバー、データベースなど）に、最新のセキュリティパッチを定期的に適用します。
- 脆弱性スキャン：Security Center の脆弱性スキャン機能を活用して、システムおよびアプリケーションに存在する脆弱性を能動的に検出し、速やかに修正します。
アプリケーションセキュリティの強化：ビジネスコードをデプロイする前に、コードのセキュリティテストを実施するか、Web Application Firewall と統合して、SQL インジェクション、XSS、一般的な Web サーバープラグインの脆弱性、トロイの木馬のアップロード、コアリソースへの不正アクセスなど、OWASP で定義される一般的な攻撃から防御します。これにより、アプリケーションの脆弱性を介したシステム侵害を防止できます。
認証情報のセキュリティ：Alibaba Cloud の AccessKey をコードや構成ファイル内にハードコーディングしないでください。RAM ロールまたはインスタンス RAM ロールを活用し、最小権限の原則に従ってアプリケーションに権限を付与します。詳細については、「認証情報の安全な利用」をご参照ください。

費用とリスク

費用:
- Security Center: アンチウイルスやディープスキャンなどの高度な機能には、アンチウイルスエディション以上が必要です。7日間の無料トライアルをご利用いただけます。
- エージェントレス検出: これは従量課金サービスです。別途、Agentless Detection 課金機能を購入する必要があります。
- Emergency Response Service: ご自身で問題を解決できない場合は、Alibaba Cloud Emergency Response Service を購入することで、プロのセキュリティエンジニアによるサポートを受けることができます。
リスク:
- 手動クリーンアップのリスク: 手動操作は、システムファイルの誤削除や構成変更につながる可能性があり、サーバーの起動失敗やビジネス運用の中断を引き起こす可能性があります。手動クリーンアップを実行する前にスナップショットを作成してください。
- データ損失のリスク: システムディスクの再初期化は、システムディスク上のすべてのデータを完全に削除します。事前にスナップショットを作成しない場合、データは回復できません。