Elastic Compute Service (ECS) インスタンスがクリプトマイニングプログラムに侵害されると、CPU リソースが枯渇し、ビジネスサービスが中断され、マルウェアが内部ネットワーク全体に水平展開する可能性があります。本書では、即時の封じ込めと根本原因の分析から、複数のパスによるクリーンアップ、長期的なセキュリティ強化まで、インシデント対応の完全なワークフローを解説し、システムのセキュリティを迅速に回復できるよう支援します。
クリプトマイニングプログラムの危険性と識別方法
危険性
リソースの消費とパフォーマンスの低下:クリプトマイニングプログラムは、暗号資産をマイニングするための集中的な計算で CPU リソースを消費し、深刻な CPU 枯渇を引き起こします。これは、サーバー上の他のビジネスアプリケーションの正常な動作に直接影響します。
ワームのような拡散:セキュリティ境界が突破されると、クリプトマイニングマルウェアは内部ネットワーク全体に急速に水平展開し、侵害されたサーバーに永続化メカニズムを確立して、長期的な利益を確保します。
除去の困難性:クリプトマイニングプログラムは協調的な保護メカニズムを採用しており、不完全なクリーンアップは再発感染につながります。xorddos などの一部の亜種は、システムコマンドを置き換えるため、通常のシステムコマンドを実行すると悪意のあるスクリプトがトリガーされ、除去がより困難になります。
識別方法
パフォーマンスの急激な低下:サーバーの CPU 使用率が定期的または継続的に 80% を超え、ビジネスアプリケーションの応答が遅くなったり、完全に利用できなくなったりします。
システム安定性の低下:クリプトマイニングプログラムによる高い計算負荷は、システムのクラッシュやサービスの中断につながる可能性があります。
セキュリティアラートの受信:Security Center は、クリプトマイニングプログラム、マイニングプールとの通信、または悪意のあるドメイン名へのアクセスを検出すると、アラート通知を送信します。
対応戦略
迅速に対応してクリプトマイニングプログラムとその永続化バックドアを完全に除去し、サーバーのパフォーマンスを正常に戻し、将来の侵害を防ぐためにセキュリティ強化を実装します。
コストとリスク
コスト:
Security Center:ウイルス対策 や ディープクリーンアップ などの高度な機能には、ウイルス対策版以上が必要です。7 日間の無料トライアルが利用可能です。
エージェントレス検出:これは従量課金制のサービスです。別途、[エージェントレス検出]の課金機能を購入する必要があります。
緊急レスポンスサービス:ご自身で問題に対処できない場合は、Alibaba Cloud の 緊急レスポンスサービス を購入して、専門のセキュリティエンジニアによるサポートを受けることができます。
リスク:
手動クリーンアップのリスク:手動操作では、誤ってシステムファイルを削除したり、設定を変更したりして、サーバーが起動しなくなったり、業務が中断されたりする可能性があります。手動クリーンアップを実行する前に、スナップショットを作成することを推奨します。
データ損失のリスク:システムディスクの再初期化 を行うと、システムディスク上のすべてのデータが完全に削除されます。事前にスナップショットを作成していない場合、データは回復できません。
ソリューションアーキテクチャ
このガイドは、「発見-封じ込め-クリーンアップ-強化」というインシデント対応モデルに従い、さまざまな技術レベルやビジネスシナリオに合わせて 3 つの修復パスを提供します。
迅速な自己チェックと緊急封じ込め:脅威を特定し、状況をできるだけ早く制御して、さらなる被害を防ぎます。主なアクションには、異常なプロセスとネットワーク接続の特定、およびセキュリティグループを使用したネットワーク分離が含まれます。
意思決定とパスの選択:技術的な専門知識、時間の制約、リスク許容度に基づいて、次の 3 つのオプションから最適なクリーンアップパスを選択します。
Security Center を使用した自動クリーンアップ (推奨):Security Center が提供する自動ツールを使用して、アラートの対処、ウイルスのスキャン、永続化バックドアの除去を効率的かつ正確に行います。
手動クリーンアップ:Linux/Windows の運用保守に豊富な経験を持つ専門家に適しています。これには、手動での調査とコマンド実行による詳細なシステムクリーンアップが含まれます。
システムリセット:感染が根深い場合や再発する場合は、データをバックアップし、システムディスクを再初期化して、脅威を根本から排除します。
検証とセキュリティ強化:クリーンアップ後、システムが正常に動作していることを確認し、セキュリティ強化策を実装します。
操作手順
迅速な自己チェックと緊急封じ込め
アラートを受信したり、サーバーのパフォーマンスに異常を検知した場合は、次のアクションを実行して初期診断と緊急封じ込めを行います。
異常なプロセスとネットワーク接続の特定
CPU 使用率の高いプロセスの確認:サーバーにログインし、
top -cまたはps -eo pid,ppid,cmd,%cpu --sort=-%cpu | moreコマンドを実行して、長時間にわたって高い CPU リソースを消費している不明なプロセスを見つけます。不審なネットワーク接続の確認:
ss -ntpまたはnetstat -antpコマンドを実行して、不明なリモートアドレスへの接続、特に 3333、5555、7775 などの一般的なマイニングプールポートへの接続を確認します。
緊急封じ込めの実行
ネットワーク分離 (推奨):これは、脅威を封じ込めるための最も迅速で安全な方法です。直ちに ECS コンソールにログインし、サーバーのセキュリティグループルールを変更して、アウトバウンドルールをすべてのトラフィックを拒否するように設定します。信頼できる IP アドレス (オフィスのネットワークや要塞ホストの IP など) からのリモートログインポート (SSH 22 や RDP 3389 など) へのアクセスのみを許可します。このアクションにより、クリプトマイニングプログラムとマイニングプール間の通信が即座に遮断されます。
悪意のあるプロセスの終了:特定された悪意のあるプロセスに対して、
kill -9 <PID>コマンドを実行して終了させます。これは一時的な措置であることに注意してください。永続化メカニズムが除去されない限り、プロセスは再起動する可能性があります。
クリーンアップの実行
状況に応じて、次のいずれかのクリーンアップ方法を選択します。
Security Center を使用した自動クリーンアップ (推奨)
前提条件
Security Center のウイルス対策版、アドバンスト版、エンタープライズ版、またはアルティメット版を購入済みであること。
説明7 日間の無料トライアルを有効化して、関連機能を使用することもできます。
フルスキャンを実行するには、従量課金制サービスである [Agentless Detection] を有効にする必要があります。
対象サーバー上の Security Center エージェントがオンラインであることを確認します。
ステップ 1:アラートの対処と悪意のあるプロセスの終了
Security Center の [セキュリティアラートの処理] 機能を使用して、悪意のあるプロセスを終了し、ウイルスファイルを隔離して、クリプトマイニングプログラムを迅速に停止します。詳細については、「セキュリティアラートの評価と対処」をご参照ください。次の手順に例を示します。
Security Center コンソールにログインします。
左側のナビゲーションペインで、 を選択します。コンソールの左上隅で、保護対象のアセットが配置されているリージョン ([Chinese Mainland] または [Outside Chinese Mainland]) を選択します。
クリプトマイニングのアラートを見つけ、[Actions] 列の 詳細 をクリックしてアラートの詳細を表示します。
重要Security Center コンソールで提供される基本情報とイベントの説明に基づき、クリプトマイニングプログラムを特定し、他のアラートや不審なファイルを確認できます。アラートをトリガーしたファイルが正当な業務用のファイルなのか、攻撃者によって実行されたファイルなのかを判断する必要があります。攻撃であることが確認された場合は、クリプトマイニングのアラートを対処した後、サーバー上の他のすべてのアラートと不審なファイルにも対処することを推奨します。
[Alerts] ページに戻り、クリプトマイニングのアラートを対処します。
対象のクリプトマイニングアラートの 操作する 列にある 処理 をクリックします。
[Handle Alert] ダイアログボックスで、対処方法として ウイルスの検出と除去 を選択します。次に、Terminate Process または Terminate Process and Quarantine Source File を選択し、今すぐ処理 をクリックして、プログラムが再度実行されるのを防ぎます。
アラートの原因となったファイルが業務用のファイルではないことを確認した場合は、Terminate Process and Quarantine Source File を選択して、ウイルスがサーバーに感染拡大するのを防ぐことを推奨します。
説明Security Center は、Batch Handle Same Alerts 機能をサポートしています。同じルールまたはタイプによってトリガーされたアラートをバッチ処理する必要がある場合は、Batch Handle Same Alerts を選択できます。
[Alerts] ページで、クリプトマイニングイベントによって生成された関連アラート (マイニングプールとの通信など) を見つけ、[Block] アクションを実行します。
説明Security Center は、サーバーがマイニングプールにアクセスするのを防ぐための対応するポリシーを生成し、セキュリティイベントに対処するための十分な時間を提供します。マイニングプールの IP アドレスをセキュリティグループに手動で追加してアクセスをブロックすることもできます。セキュリティグループルールの追加方法の詳細については、「セキュリティグループルールの追加」をご参照ください。
[Alerts] ページで、プロセスの動作異常に関するアラートを確認し、異常なスケジュールタスクがあるかどうかを判断し、それらのアラートに適切に対処します。
説明
ステップ 2:ディープスキャンとクリーンアップ
悪意のあるプロセスが終了した後も、自動起動サービスやスケジュールタスクなどの永続化メカニズムがまだ存在する可能性があります。Security Center の ウイルス対策 機能を使用して、それらをスキャンしてクリーンアップします。詳細については、「ウイルス対策」をご参照ください。次の手順に例を示します。
Security Center コンソールにログインします。左側のナビゲーションペインで、 を選択します。コンソールの左上隅で、保護対象のアセットが配置されているリージョン ([Chinese Mainland] または [Outside Chinese Mainland]) を選択します。
ウイルスの検出と除去 ページで、今すぐスキャン または 再スキャン をクリックします。
スキャンの設定 パネルで、スキャンモードとスキャン範囲を設定し、OK をクリックします。
[スキャンモード]:クイックスキャン を選択します。
[Scan Scope]:クリプトマイニングプログラムに侵害されたサーバーを選択します。

スキャンが完了したら、ウイルスの検出と除去 ページで、対象のアラートの 処理 列にある 操作する をクリックします。
Alert Handling パネルで Deep Cleanup を選択し、次へ をクリックして、システムがアラートを処理するのを待ちます。
アラートが処理された後、[Alerts] ページで結果とアラートのステータスを表示します。

ステップ 3:フルスキャン
残留ファイルがないことを確認するために、エージェントレス検出機能を使用してオフラインのフルディスクスキャンを実行できます。この機能は検出のみをサポートし、修復はサポートしません。検出されたリスクは、リスク詳細ページで提供される詳細に基づいて対処する必要があります。詳細については、「エージェントレス検出」をご参照ください。
Security Center コンソールにログインします。保護対象のアセットが配置されているリージョン ([Chinese Mainland] または [Outside Chinese Mainland]) を選択します。
タブの Risk Detection セクションで、今すぐ診断 をクリックします。
今すぐ診断 パネルで、次の表の説明に従って設定を構成し、OK をクリックします。
Scan Scope:データディスクをスキャンすることを推奨します。 データソースが完全であるほど、脆弱性やアラートの検出結果が向上します。
[Image Retention Duration]:
値の範囲は 1~365 日です。
イメージの作成には料金が発生します。 イメージの保持期間が長いほど、料金は高くなります。
重要Retain Only At-risk Imageを選択すると、スキャン完了後、システムは脅威のない イメージを自動的に削除します。
タスクを作成すると、Security Center は自動的にイメージを作成し、スキャンとその後の操作を実行します。 詳細については、「スナップショットとイメージの自動作成」をご参照ください。
説明サーバーのデータ量が多いほど、スキャンタスクにかかる時間が長くなります。 タスクが完了するまでお待ちください。
検出タスクが完了したら、検出された脆弱性リスク、ベースラインチェックの失敗、セキュリティアラート、および機密ファイルを確認して対処します。
手動クリーンアップ
クリプトマイニングプログラムは多数の永続化バックドアを作成するため、除去が困難です。Security Center のサブスクリプションなしでクリプトマイニングウイルスに感染した場合は、次の措置を講じて調査し、対処することができます。
この方法では、ファイルと設定を変更します。続行する前に、サーバーのディスクのスナップショットを作成して、操作エラーが発生した場合にデータを復元できるようにしてください。
Linux システム
悪意のあるネットワーク通信のブロック。
ホスト上でクリプトマイニング活動を発見した場合、完全な修復には時間がかかる可能性があるため、最初のステップはクリプトマイニングトロイの木馬のネットワーク通信をブロックして、影響を即座に抑えることです。
次のコマンドを実行して、現在のシステムのネットワーク接続を確認します。
netstat -antp
次のコマンドの
C&C addressを、通常の業務で使用されていない不審なリモートアドレス (Foreign Address) に置き換えます。次に、コマンドを実行してファイアウォールルールを追加し、サーバーと不審なアドレス間のすべてのネットワーク接続をブロックします。iptables -A INPUT -s C&C address -j DROP iptables -A OUTPUT -d C&C address -j DROP
スケジュールタスクのクリア。
クリプトマイニングトロイの木馬は、スケジュールタスクを使用してトロイの木馬を 定期的にダウンロード (更新) および開始 することがよくあります。プロセスとトロイの木馬ファイルをクリーンアップするだけではプログラムを根絶するには不十分であり、再発感染につながる可能性があります。
次のスケジュールタスクファイルを調査し、クリプトマイニングトロイの木馬のダウンロードまたは開始に関連するタスクを削除します。
現在のユーザーまたは指定されたユーザー (
username) のスケジュールタスクを表示します。crontab -l crontab -u username -lホスト上のすべてのスケジュールタスクファイル。
/etc/crontab /var/spool/cron/ /etc/anacrontab /etc/cron.d/ /etc/cron.hourly/ /etc/cron.daily/ /etc/cron.weekly/ /etc/cron.monthly/
自動起動サービスのクリア。
次のコマンドを実行して、システム上のすべての自動起動サービスを調査します。
systemctl list-unit-files | grep enabled不審なサービスのユニットファイルを見つけて、その詳細を確認します。
*をサービス名に、<service_unit_name>をサービスユニットファイル名に置き換えます。ls -al /etc/systemd/system/*.service ls -al /usr/lib/systemd/system/*.service # サービスの詳細 (サービスによって開始されたプロセスファイル) を表示します cat /etc/systemd/system/<service_unit_name>.service悪意のある自動起動サービスを見つけた場合は、次のコマンドを使用してサービスを無効にし、そのユニットファイルを削除します。
<service name>をサービス名に、<service_unit_name>をサービスユニットファイル名に置き換えます。systemctl disable <service name> rm /etc/systemd/system/<service_unit_name>.service rm /usr/lib/systemd/system/<service_unit_name>.service次のパスにある自動起動サービスを調査し、上記の手順でクリーンアップします。
/etc/rc.local /etc/inittab /etc/rc.d/ /etc/init.d/
SSH 公開鍵のクリア。
クリプトマイニングトロイの木馬は、攻撃者の SSH 公開鍵を
~/.ssh/authorized_keysファイルに追加することがよくあります。これにより、攻撃者はパスワードなしで侵害されたホストにログインし、悪意のあるファイルを再インストールできます。~/.ssh/authorized_keysファイルを調査し、不審な公開鍵を直ちに削除します。.soハイジャックのクリア。/etc/ld.so.preloadファイルを介して設定された、プリロードされた.soファイルは、top、、 などの一般的なシステムコマンドをハイジャックして、クリプトマイニングプロセスを隠すことができます。次のコマンドを実行して、プリロードされた
.soファイルを調査します。cat /etc/ld.so.preload次のコマンドを実行して、プリロードハイジャックを削除します。
echo > /etc/ld.so.preload
悪意のあるアカウントのクリア。
一部のクリプトマイニングトロイの木馬ファミリーは、侵害されたホストを長期間制御し続けるために、新しい バックドアアカウント を作成します。次のコマンドを実行して悪意のあるアカウントを確認し、関連するアカウント情報を手動で削除します。
ログで最近のアカウント作成アクティビティを確認します。
cat /var/log/audit/audit.log | grep useradd # または cat /var/log/secure | grep 'new user'/etc/passwdファイルで不審なアカウントを確認します。cut -d: -f1 /etc/passwdアカウントの
homeディレクトリの作成日時または最終アクセス日時を確認します。最近作成されたhomeディレクトリには特に注意してください。stat /home/guest/
改ざん防止技術への対策。
スケジュールタスクや自動起動サービスなどの永続化ファイルを書き込んだ後、一部のクリプトマイニングトロイの木馬は、永続化メカニズムが削除されるのを防ぐために、ファイルに 不変属性 を設定します。

このような状況では、次のコマンドを実行してファイル属性を復元してから、対応するタスクを削除します。
chattr -i /etc/passwd chattr -i /etc/crontabクリプトマイニングトロイの木馬プロセスの強制終了。
クリプトマイニングプロセスは通常、高い CPU リソースを消費します。次のコマンドを使用して、不審なクリプトマイニングプロセスを調査できます。
ホストの CPU を大量に消費しているプロセスを調査します。
top -c
ps -eo pid,ppid,cmd,%cpu --sort=-%cpu | more
異常なネットワーク接続の動作を調査します。
netstat -antp
不審なプロセスのファイルパスを取得します。
ls -al /proc/$PID/exeプロセスファイルの MD5 ハッシュを計算し、Alibaba Cloud 脅威インテリジェンスプラットフォームで検索します。
md5sum /proc/$PID/exe
次のコマンドを実行してクリプトマイニングプロセスを終了し、トロイの木馬ファイルをクリーンアップします。
kill -9 $PID # ls -al /proc/$PID/exe から取得したプロセスパスを削除します rm /path/to/executable
Linux システム (特定のクリプトマイニングケース)
AliyunDuns に偽装したクリプトマイニング
次のコマンドを実行して、永続的な自動起動エントリを調査します。
grep -rlE "\\-\\-donate\\-level|xmrig|\\/opt\\/sysetmd|A_li_yun_Duns" /etc/systemd/system/* grep -rl "wget" /etc/cron.hourly/*結果が見つかった場合、自動起動サービスが存在します。次のコマンドを実行して削除します。
rm -f /etc/systemd/system/sysetmd.service rm -f /etc/systemd/system/monero.service rm -f /etc/systemd/system/A_li_yun_Duns.service chattr -i /etc/cron.hourly/0 rm -f /etc/cron.hourly/0不審なユーザーを調査して対処します。
次のコマンドを実行してシステムユーザーリストを照会し、不審なユーザー名を特定します。
cat /etc/passwd次のコマンドを実行して、異常なシステムユーザーに関する情報を表示します。この例では、ユーザーは
shaojiang99です。cat /etc/passwd | grep shaojiang99 cat /etc/shadow | grep shaojiang99次のコマンドを実行して、不審なシステムユーザーを削除します。
chattr -i /etc/passwd chattr -i /etc/shadow sed -i '/^shaojiang99:/d' /etc/shadow sed -i '/^shaojiang99:/d' /etc/passwd
Skidmap の手動修復
次のコマンドを実行して、自動起動サービスエントリを削除します。
echo "" > /lib/systemd/system/systemd-cgroup.service echo "" > /lib/systemd/system/systemd-deltaed.service echo "" > /usr/bin/systemd-cgroup.org echo "" > /usr/bin/systemd-cgroup echo "" > /usr/bin/systemd-deltaed echo "" > /usr/bin/systemd-deltaed.orgSSH 公開鍵ファイル
authorized_keysを手動でクリーンアップし、不審な鍵を削除します。
Cleanfda の手動修復
次のスケジュールタスクのパスで、不審なスクリプトの実行 (例:
/etc/upat.sh) を調査します。/var/spool/cron/ /etc/cron.d/ /var/spool/cron/crontabs /etc/crontab変更されたコマンドを調査します (元のプログラム、たとえば
ps、pstree、topは、接尾辞.originalを付けて名前が変更されます)。ls -al /usr/bin | grep originalSSH 公開鍵を調査し、不明な鍵を削除します。
cat ~/.ssh/authorized_keys cat /root/.ssh/authorized_keys
例:
# 変更されたコマンドを復元します
crondir='/var/spool/cron/'"$USER"
mv /bin/ps.original /bin/ps
mv /bin/top.original /bin/top
mv /bin/pstree.original /bin/pstree
# スケジュールタスクファイルの編集権限を復元します
chattr -R -ia /var/spool/cron
chattr -ia /etc/crontab
chattr -R -ia /var/spool/cron/crontabs
chattr -R -ia /etc/cron.d
# 不審なスケジュールタスクとペイロードを削除します
sed -i '/upat.sh/d' /etc/crontab
rm -rf /etc/cron.d/httpd2
rm -rf /etc/upat.sh
rm -rf /tmp/upat.sh
rm -rf /etc/httpd2
rm -rf /tmp/httpd2
# 不審な公開鍵を削除します
sed -i '/cKtXBjj******hVI0K7b/d' ~/.ssh/authorized_keys
sed -i '/cKtXBjj******hVI0K7b/d' /root/.ssh/authorized_keysOutlaw ファミリーのクリプトマイニング
すべての
cronスケジュールタスクで、文字列.configrc5/を調査します。スケジュールタスクのパス:
/var/spool/cron/root /var/spool/cron/ /etc/cron.d/ /var/spool/cron/crontabs /etc/crontab次のコマンドを実行して調査します。
grep -r ".configrc5/" /var/spool/cron/* grep -r ".configrc5/" /etc/cron*
見つかった場合は、次のコマンドを実行して関連ファイルを削除します。
rm -rf /tmp/.X2xi-unix/.rsync rm -rf ~/.configrc5
kinsing ファミリーのクリプトマイニング
次のコマンドを実行して
cronスケジュールタスクを調査します。gi.sh | bash > /dev/nullのような内容を探します。存在する場合は、その行を削除します。grep -r "gi.sh | bash > /dev/null" /etc/cron* grep -r "gi.sh | bash > /dev/null" /var/spool/cron/*次のコマンドを実行して、
/lib/systemd/system/bot.serviceサービスが存在するかどうかを確認します。cat /lib/systemd/system/bot.serviceサービスが存在する場合は、次のコマンドを実行して
/etc/ld.so.preloadにlibsystem.soファイルがあるかどうかを確認します。cat /etc/ld.so.preloadlibsystem.soファイルのパスを特定した後、ファイルを削除します。
Windows システム
PowerShell で、次のコマンドを実行して、CPU 使用率に基づいて不審なクリプトマイニングプロセスを調査します。
説明ps | sort -des cpu While(1) {ps | sort -des cpu | select -f 15 | ft -a; sleep 1; cls}次のコマンドを実行して、クリプトマイニングプロセスの実行可能パスとコマンドライン引数を表示します。
説明wmic process where processid=xxx get processid,executablepath,commandline,name // xxx はプロセスの PID ですクリプトマイニングプロセスを終了し、トロイの木馬ファイルをクリーンアップします。
次のコマンドを実行して、不審なネットワークポートでの接続を確認します。
説明netstat -ano | findstr xxx // xxx は不審なネットワークポートです次のコマンドを実行して、サーバーの hosts ファイルにクリプトマイニングプログラムのマイニングプールアドレスが含まれているかどうかを確認します。
説明type C:\Windows\System32\drivers\etc\hosts次のコマンドを実行して、クリプトマイニングプログラムによって設定されたスケジュールタスクがあるかどうかを確認します。
説明schtasks /query
システムのリセット
ウイルスがシステムに深く侵入している場合、手動クリーンアップ後に問題が再発する場合、またはサーバーに重要な業務データが含まれていない場合は、このオプションを推奨します。サーバーのシステムをリセットする前に、重要なデータをバックアップして、クリプトマイニングプログラムを完全にクリーンアップすることを強く推奨します。
スナップショットを作成して、サーバー上の重要なデータをバックアップします。詳細については、「ディスクのスナップショットの作成」をご参照ください。
システムディスクを再初期化する:ECS コンソールで対象のインスタンスを選択し、[Re-initialize System Disk] 操作を実行します。この操作により、システムディスクが完全に消去され、初期状態に復元されます。詳細については、「システムディスクの再初期化 (オペレーティングシステムのリセット)」をご参照ください。
スナップショットを使用して新しいクラウドディスクを作成します。詳細については、「スナップショットからのディスク作成」をご参照ください。
システムを再インストールしたサーバーにクラウドディスクをアタッチします。詳細については、「データディスクのアタッチ」をご参照ください。
サーバーにログインし、アタッチされたデータディスクから業務データ (ウェブサイトのコードやデータベースファイルなど) のみをコピーします。
重要バックドアが再導入されるのを避けるため、実行可能ファイル、システム設定ファイル、またはスクリプトは、古いスナップショットから復元しないでください。
緊急レスポンスサービスの購入
Alibaba Cloud は、専門のセキュリティエンジニアがウイルス感染などの問題解決を支援する緊急レスポンスサービスを提供しています。このサービスには次の内容が含まれます。
システム内のトロイの木馬、ウイルス、異常なアカウント、異常なファイル、Webシェル、隠しリンク、その他の問題の包括的なクリーンアップ。
攻撃者の侵入方法を分析し、根本原因を特定。
セキュリティ強化に関するガイダンス。
詳細については、「緊急レスポンスサービス」をご参照ください。
Verify the remediation
After cleanup, you must verify the results and harden the system to ensure security and prevent reinfection.
Scan again: Use the Antivirus or Agentless Detection feature in Security Center to perform a full scan of the server and confirm there are no alerts.
Monitor performance: Continuously monitor the server's CPU utilization to confirm it has returned to a normal level.
Security hardening
Enable proactive defense for malicious host behavior: The proactive defense feature provided by Security Center can accurately intercept cryptomining programs, thus preventing cryptomining incidents before they occur. For more information, see Proactive Defense.
Strengthen access control:
Apply the principle of least privilege to security groups: Configure the ECS security group to open only necessary business ports (such as 80 and 443). For management ports like SSH (22) and RDP (3389), ensure they are open only to trusted, fixed IP addresses (such as your office network or a bastion host IP).
Password policy: Configure strong passwords for database systems or file systems (MySQL, PolarDB, MaxCompute, Redis, NAS, OSS), service management consoles (such as BT-Panel, Nacos), and operating system user accounts (SSH, RDP). Limit the number of incorrect password attempts to prevent brute-force intrusions.
Vulnerability and patch management:
Update promptly: Regularly apply the latest security patches to your operating system and application software (such as web servers and databases).
Vulnerability scanning: Use the vulnerability scanning feature in Security Center to proactively discover and fix vulnerabilities in your system and applications.
Harden application security: Before deploying business code, perform code security testing or integrate with a Web Application Firewall to defend against common OWASP attacks like SQL injection, XSS, common web server plugin vulnerabilities, Trojan uploads, and unauthorized access to core resources. This helps prevent system compromise through application vulnerabilities.
Credential security: Avoid hardcoding Alibaba Cloud AccessKeys in your code or configuration files. Use RAM roles or instance RAM roles to grant permissions to applications, following the principle of least privilege. For more information, see Securely use credentials.