挖矿告警及封禁常见问题

Q：我不知道什么是挖矿，也从来没有主动进行过挖矿，我应该怎么办？

A：您的服务器极有可能被外部攻击者恶意入侵并用于挖矿活动。建议您立即排查服务器安全状况，同时我们强烈建议您在备份重要数据后，重新初始化云盘，以确保完全清理挖矿程序。



Q：我已经进行了挖矿程序清理，不清楚是否还有残留、是否还会关停？

A：若服务器仍存在挖矿行为，在关停限期前2日会通过邮件、短信、语音电话等通道向您发送通知，请注意关注。若关停限期前2日均未收到挖矿治理消息通知，则您的云服务器不会被关停。



Q：我不知道什么是挖矿，暂时也没有相关技术能力排查挖矿程序，我应该怎么办？

A：

1. 您可以按以下步骤对您的服务进行初步排查

   • 排查是否有异常的CPU占用（注：挖矿木马可能不会占满您的CPU，但CPU占用会长时间持续稳定在一定水平，如20%、50%）。

   • 排查是否有异常的网络连接，如连接非常见端口、连接未知IP/海外IP等

   • 排查系统定时任务中是否存在未知/恶意命令。

   • 若仍然未能发现挖矿程序，强烈建议您在备份重要数据后，重新初始化云盘，可确保完全清理挖矿程序。

2. 您可以免费试用云防火墙、云安全中心，以辅助您排查挖矿活动。（注：试用扫描结果仅作紧急排查辅助，不能作为唯一参考）

   • 云安全中心清理挖矿程序：登录云安全中心控制台（免费试用）→ 客户端安装 → 病毒扫描 → 告警处理；详细见《云安全中心挖矿程序处理最佳实践》

   • 云防火墙防止挖矿程序再植入：登录云防火墙控制台（免费试用）→ 攻击防护 → 防护配置（拦截模式）→ 打开威胁情报，基础防御以及虚拟补丁开关：详细见《云防火墙防御挖矿蠕虫最佳实践》



Q：云安全中心已经没有任何告警为什么还收到挖矿治理通知？

A：

（云安全中心试用扫描结果仅作紧急排查辅助，不能作为唯一参考）

1. 请在 云安全中心→资产中心→未受保护的服务器 确认云安全中心是否正在保护您的服务器，若未安装云安全中心客户端请点此前往安装。

2. 请在 云安全中心→总览 确认是否开启云安全中心高级防护功能（可申请免费试用）；免费版只提供基础检测功能，可能无法发现隐匿程度较高的恶意程序。

3. 云安全中心安全扫描存在周期性，请使用 云安全中心→病毒防御 扫描获得实时结果。

4. 请确认是否有挖矿告警被加入白名单，请勿通过添加白名单的方式清理挖矿程序

5. 确认您是否有搭建网络代理服务，该服务可能被恶意利用，为挖矿提供通信流量转发。



Q：服务即将被关停，我由于客观原因限制来不及完成整改，应该怎么办？

A：您可以通过工单或阿里云客服联系进行反馈，后台将根据情况提供1~3天的延期。