如何解决云服务器CVM存在疑似挖矿行为违规信息自查通知

今天收到客户联系说自己收到了服务器商发来的警告，怀疑自己的账号下面的服务器存在疑似挖kuang的行为，要求该用户自查并提交承诺书到工单中。

尊敬的XXX用户，您好！

您的账号涉嫌从事虚拟货币的勘探（挖矿）行为。根据法律法规和监管部门的要求，请您尽快核查名下业务：

1. 是否有利用腾讯云服务从事与虚拟货币相关的业务或行为，包括但不限于虚拟货币的勘探（挖矿）、登记、交易、结算、清算等。

2. 自查后并请反馈承诺书至工单。

并请在XXX年XXXX月XXXX号前在工单反馈您的核查结果。如未收到您的反馈，xxx云将有权根据相关法规、政策的规定及监管部门的要求，对您的云服务器做出封禁操作，届时将影响您对外提供服务的能力，感谢您的配合。

在此特意记录一下排查的流程:

1. 查看进程:

top -c

一般中了挖矿,服务器的cpu都会被干爆100%,,但我这次中的这个藏得有点深,,,top查看进程都正常,没有可疑进程,,但cpu消耗确实有100%

2. 检查端口状态:

netstat -aulntp

我是在这一步才发现了一个异常的tcp连接,,显示这个tcp连接源在一个不明的外部ip

3. 查看进程号的执行源文件:

proc/pid号/exe

4. 杀死该进程,并删除源文件:

kill -9 pid号
rm -rf 源文件名

5. 检查定时任务:

crontab -l
cat /etc/crontab

6. 检查开机启动项

ll /etc/init.d/
cat /etc/rc.d/rc.local

有的挖矿还会恶意修改系统命令,,比如curl, wget命令等

对于系统安全也建议日常做好防护措施：服务器安全防护的一些建议：
①设置好ECS安全组，例如只允许指定的IP地址进行3389（远程桌面）、22（SSH）登录，避免服务器管理端口被黑客扫描或爆破。
②在ECS安全组中，只放行必要的业务端口（比如80、443），其他无关端口不要放行。
③服务器密码设置复杂点，不要过于太简单。
④应用软件要经常升级到新版本，不要用老版本的软件。
⑤定期对重要服务器做磁盘快照。这样当出现数据丢失、误删数据、数据被黑客篡改(比如勒索病毒)等意外事件时，可以通过磁盘快照回滚恢复您的数据。