问题所在

防止被挖矿，首先要了解挖矿的本质

挖矿的本质是快速产出，利用现有资源实现快速产出并获取利润。

为什么您需要了解这一点是因为大多数矿工不会花时间在您的一台服务器上。他们大多会使用网络空间搜索引擎或端口扫描工具对整个网段进行批量扫描。根据扫描结果筛选出能够快速自动获取权限的机器，然后自动运行脚本进行处理。

比如我直接通过fofa搜索redis，就可以得到已经开启redis并且可以直接登录的服务器列表。那我肯定会直接导出列表，获取这些IP的权限。

常见特征

主要问题是未经授权的漏洞。常见的未授权漏洞如下：

Hadoop 未授权——50070Mongodb 未授权——27017Redis 未授权——6379Elasticsearch 未授权——9200Memcached 未授权——11211Zookeeper 未授权——2181/2888/3888JBOSS 未授权——8080Docker 未授权33 3542 375Rsync未授权——873 还有某些版本的Gitlab、Jenkins、NFS、Samba等或者由于配置不当存在允许未经授权访问的漏洞

除了未经授权的漏洞外，弱密码也是最容易被利用的，包括：

服务器系统用户弱口令web弱口令中间件web管理端弱口令应用弱口令如常用的phpMyAdmin弱口令、一些测试服务器web测试账号弱口令等。

除了上述两种之外，还有一些利用条件不高的高危系统或组件漏洞，也需要引起重视。

事前自检

对于此类问题，保护自己的最好方法就是自己进行扫描和检测。在fofa、shodan、zoomeye、censys等在线搜索引擎中，可以直接输入你的服务器IP地址，查看服务器暴露了哪些服务。有哪些端口可以帮助您确认您自己的服务器上可能出现安全问题的位置？

当然，您也可以使用nmap、zenmap、unicornscan、nast、msscan等端口扫描工具来检查您服务器的外部端口，以确认服务器的安全状态。如果需要授权访问，则添加授权，如果需要白名单，则添加白名单。

对于弱口令，如果是可控的话，必须直接设置为不允许弱口令，比如ssh。这可以通过修改系统密码复杂性要求来完成。对于被接管的服务器或者系统，可以使用一些工具，比如xscan、f-scrack、Hydra、hscan等类型的工具来扫描弱口令

如果是网上的弱密码，我常用的方法是通过brup+字典扫描。如果您获得内部许可，也可以通过Cheetah、WebCrack等工具进行测试。

对于系统和组件漏洞，可以使用Nessus自行进行安全测试，也可以使用审计工具lynis扫描服务器安全基线。

应急恢复

如果不幸被开采，必须紧急处理。处理原则是尽快恢复营业。

云服务器比较简单。如果平时做定期快照和异地数据备份，应该先对挖矿服务器进行快照备份以供后续查看，然后再恢复快照以恢复数据和业务。

如果是物理服务器那就比较麻烦了。如果业务长时间无法中断，可以考虑先将业务切换到另一台服务器，然后再进行排查和清理。

常见的故障排除工具如下：

GScanrkhunterFastIR等可以生成紧急报告，并根据报告进行确认和故障排除。

总结：

进攻是最好的防守。只有了解自己的弱点，才能取得更好的防守。

好了，文章到此结束，希望可以帮助到大家。