如何防止服务器被挖矿？

最近挖了很多小伙伴服务器。简要总结应急过程中经常遇到的一些采矿特点，以及保护方法。工具会在后面详细介绍和分享

防止被挖矿，首先要了解挖矿的本质

挖矿的本质是快速产出，利用可用资源实现快速产出并获得收益

您需要了解这一点的原因是局域网内有人挖矿，大多数采矿人员不会花时间在您的一台服务器上。大多数方法是通过网络空间搜索引擎或端口扫描工具批量扫描整个网段。根据扫描结果，筛选出能够快速自动获取权限的机器，然后自动运行脚本。

比如我直接通过fofa搜索redis，可以得到打开redis的服务器，可以直接登录。列表局域网内有人挖矿，那我肯定直接导出列表，获取这些IP的权限

主要问题是未授权漏洞，常见的未授权漏洞如下：

还有Gitlab、Jenkins、NFS、Samba等由于配置不当存在部分版本或未授权访问漏洞

p>

除了未经授权的漏洞外，最易受攻击的密码是弱密码，包括：

比如常用的phpMyAdmin弱密码，一些测试服务器web测试账号弱密码等

p>

除了以上两个，还有一些利用条件不高的高危系统或组件漏洞，也需要注意

对于此类问题，最好的保护方法是自行扫描检测。在fofa、shodan、zoomeye、censys等网络搜索引擎中，可以直接输入自己的服务器ip地址，查看服务器暴露了哪些服务和端口，从而确认自己服务器的安全问题可能出现在哪里

当然，你也可以通过nmap、zenmap、unicornscan、nast、msscan等端口扫描工具检查你服务器的外部端口，确认服务器的安全状态，并添加授权。访问权限，白名单的白名单

对于弱密码的情况，如果是可控的，必须直接设置为不允许弱密码，比如ssh，可以通过修改系统密码来修改。完成复杂度要求，对于接管的服务器或系统，可以使用一些工具，比如xscan、f-scrack、hydra、hscan等类型的工具，来扫描弱密码

如果是web端的弱密码Password，我常用的方法是用brup+dictionary的形式扫描，也可以用Cheetah、WebCrack等工具测试，前提是获得内部权限。

对于系统和组件的漏洞，Nessus可以自行进行安全检测，或者审计工具lynis可以扫描服务器安全基线

如果不幸被开采，必须紧急处理。处理的原则是尽快恢复营业。

云服务器比较简单。先对挖矿服务器做快照备份，以备后审，再恢复快照，恢复数据和业务

如果是物理服务器，那就比较麻烦了。如果业务不能长时间中断，可以考虑将业务切换到另一台服务器，然后进行排查和清理

常见的故障排除工具如下：

等，可生成紧急报告，根据报告确认调查

总结：

进攻是最好的防守。只有先了解自己的弱点，才能更好地防御