昨天收到了阿里云的紧急告警短信和邮件通知。

“告警描述：检测模型发现您的服务器上运行了挖矿程序，挖矿程序是一类侵占主机计算资源，进行虚拟货币挖掘的程序，主机往往可见CPU占用飙高，以及其他相关的恶意程序。”

其实今年九月份也出现过一次这种情况，阿里云平台紧急告警检测到我的ECS存在挖矿活动，请立即整改，否则服务器将被关停。

看着复杂的植入后门代码，不知所措，只好联系阿里云售后工程师，授权敏感权限给工程师，帮我操作并解除被植入的挖矿程序。

后面我就付费启用了阿里云的云安全服务，安稳了一段时间，再也没收到过告警通知。后面我看没啥问题，就取消付费了。

没想到维持没多久，昨天又收到了一次告警通知。

为了彻底解决问题，我决定进行全面整改，询问了阿里售后工程师，工程师给我提供了一些建议。

我想应该是我当时配置服务器环境的时候，放行了很多没有使用的端口，被暴力破解了。

我明白了之后就重新安装了操作系统，修改了复杂的ECS实例密码，并删除了没有必要的放行端口（并把22/3389端口指定了授权IP访问）我不经常用到SSH远程连接等相关的服务，只保留了80和443端口。安装了宝塔面板，其他多数操作均可通过宝塔面板完成。

接下来把宝塔面板上的数据库工具“phpMyAdmin”取消了公共访问权限。

经过这一次的事件，大家一定要记住，服务器端口放行的原则是“不用不放，用完删除”。