挖礦木馬感染特徵

A. 現在的病毒和木馬，有什麼區別

一、概念上的區別

計算機病毒（Computer Virus）是編制者在計算機程序中插入的破壞計算機功能或者數據的代碼，能影響計算機使用，能自我復制的一組計算機指令或者程序代碼。

木馬，全稱是「特洛伊木馬」，英文為Trojan Horse，來源於古希臘神話《荷馬史詩》中的故事《木馬屠城記》。而現在所謂的特洛伊木馬正是指那些表面上是有用的軟體、實際目的卻是危害計算機安全並導致嚴重破壞的計算機程序。

二、性質上的區別

計算機病毒具有傳播性、隱蔽性、感染性、潛伏性、可激發性、表現性或破壞性。計算機病毒的生命周期：開發期→傳染期→潛伏期→發作期→發現期→消化期→消亡期。

木馬是具有欺騙性的文件 ，是一種基於遠程式控制制的黑客工具，具有隱蔽性和非授權性的特點。

三，危害上的區別

病毒可以被設計為通過損壞程序、刪除文件或重新格式化硬碟來損壞計算機。而有些病毒不損壞計算機，而只是復制自身，並通過顯示文本、視頻和音頻消息表明它們的存在，但即使是這些「良性」病毒也會給計算機用戶帶來問題，比如會占據計算機內存。

特洛伊木馬不具傳染性，它並不能像病毒那樣復制自身，也並不"刻意"地去感染其他文件，它主要通過將自身偽裝起來，吸引用戶下載執行。

特洛伊木馬中包含能夠在觸發時導致數據丟失甚至被竊的惡意代碼，要使特洛伊木馬傳播，必須在計算機上有效地啟用這些程序，例如打開電子郵件附件或者將木馬捆綁在軟體中放到網路吸引人下載執行等。

現在的木馬一般主要以竊取用戶相關信息為主要目的，相對病毒而言，我們可以簡單地說，病毒破壞你的信息，而木馬竊取你的信息。

B. 電腦中了挖礦病毒

方法/步驟
首先，如果是菜鳥寫出的病毒，大家可以太任務管理器中，找到該文件路徑，直接終結進程樹，或直接找到路徑刪除即可。

2/6
第二，如果對方技術夠本，我們很難終結進程，那麼，我們可以下載一個電腦管家，現在的電腦管家也增大了挖礦病毒的掃描率，如果查找到直接清理即可。

3/6
第三，如果電腦管家也無法搞定那麼，我們可以avast查殺，這個程序在殺毒方面，簡直是第一，對於挖礦病毒來說，更是猶如利劍。

4/6
第四，如果使用avast之後，我們還懷疑電腦有挖礦病毒的話，我們先打開進程手動把文檔路徑放到隔離區。

5/6
第五，在放到隔離區之後，我們使用avast的放鬆以供分析，然後發給avast的工作員工，備注懷疑是挖礦病毒，對方給我們人工分析，如果是，對方也會幫我們刪除。

6/6
第六，如果在專業堅定之後，我們還有所懷疑的話，如果不是大牛，那麼，大舅就需要重裝電腦了，畢竟，一裝百物清。
網路經驗:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望採納謝謝(≧∇≦)

C. 挖礦是web應用攻擊嗎

依法禁止「挖礦」行為，檢測清除挖礦木馬是關鍵一環

國聯易安
2021年9月，央行等相關部門發布《關於進一步防範和處置虛擬貨幣交易炒作風險的通知》，明確虛擬貨幣兌換等行為，均屬非法金融活動，並提出加強對虛擬貨幣交易炒作風險的監測、預警等工作措施的主張。

同月，國家發改委等部門亦發布《關於整治虛擬貨幣「挖礦」活動的通知》，明確嚴禁投資建設增量項目，嚴禁以任何名義發展虛擬貨幣「挖礦」項目的行為。

一直以來，我國對比特幣等虛擬貨幣交易炒作活動的監管，都始終保持著高壓態勢。2021年5月，國務院金融穩定發展委員會明確要求，打擊比特幣挖礦和交易行為。河北、新疆、內蒙古、青海、雲南、四川、安徽等多地都已陸續對虛擬貨幣挖礦和交易行為開展專項整治行動。

這一系列整治，都劍指「挖礦」帶來的高能耗、虛擬幣炒作交易擾亂金融秩序等問題。

那「挖礦」到底為什麼會產生高能耗呢？「挖礦」指的是虛擬貨幣的生產過程，因最重要成本是「礦機」運行所需的電費而得名。為此，其主要活動一般也都聚集在電力充足且電費便宜的地區，例如火電豐富的新疆、內蒙古，以及水電豐富的雲南、四川、貴州，即便如此，但電力能耗依然驚人。

而就目前各項規定和通知的發布來看，這無疑是在告訴我們「挖礦」行為被嚴令禁止已是板上釘釘的事實。

盡管明令禁止的要求已經發布，但難免有些不法之徒還是會選擇鋌而走險，通過違規操作，來實現自己「挖礦」的目的，像這樣的行為通常被叫做挖礦劫持。

基於Web的加密攻擊，是目前最常見的惡意挖礦軟體形式，一般通過在網站內運行的腳本執行，使被攻擊者的瀏覽器在訪問期間自動挖掘加密貨幣。

為了避免網路用戶在不知情的情況下成為「挖礦」行為的「傀儡」，我們可以採用一款高效的安全產品來解決。

國聯Web安全防護與監控系統是結合多年在應用安全理論與應急響應實踐積累、大量的市場經驗，在原有網頁防篡改產品和Web應用層防火牆的基礎上自主研發的一款企業級應用防護與監控系統。產品在提供Web應用實時深度防禦的同時，為 Web 應用提供全方位的防護解決方案。

該產品致力於解決應用及業務邏輯層面的安全問題，廣泛適用於所有涉及 Web 應用的行業。可以幫助用戶解決目前所面臨的各類網站與網頁安全問題，如：網站文件篡改、注入攻擊、跨站攻擊、腳本木馬、緩沖區溢出、信息泄露、應用層攻擊等常見及最新的安全問題；通過對應用層協議、服務中間件、資料庫協議的監控，實現網站環境健康狀態的監控。

另外，可以監控Web系統和伺服器的狀態，並且確保用戶可以在系統宕機，受到攻擊或文件被篡改時第一時間收到通知。比如，已經被國家下發了嚴格整治挖礦行為的通知，本產品就具有對挖礦木馬精準檢測和徹底清理的功能。挖礦木馬的感染性極強，能穿透內網，自動嘗試攻擊伺服器以及其他網站，因此如果發現感染了挖礦木馬，就要及時處理，以免遭受損失。

D. WannaMiner挖礦遇到木馬怎麼辦

這個木馬利用「永恆之藍」漏洞在區域網內攻擊傳播，將染毒機器構建成一個健壯的僵屍網路，支持內網自更新，長期潛伏在電腦中以挖取門羅幣。因普通個人電腦大多通過Windows安全更新和騰訊電腦管家等安全軟體修補過安全漏洞，基本不受WannaMiner影響。建議各企業用戶，如果發現疑似WannaMiner挖礦木馬，及時定位和隔離已中毒機器，可通過掃描26931埠判斷，如該埠開放則主機已被感染；如需修補內網所有未安裝補丁的電腦。建議全網安裝專業終端安全管理軟體，如騰訊御點，由管理員對全網進行批量殺毒和安裝補丁，避免造成不必要的損失。

E. 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。

F. 中挖礦病毒的表現

故障現象：使用過程中，發現經常有服務無故關閉，登錄伺服器經檢查，發現CPU使用率達到100%。在檢測異常進程中，未發現CPU使用率異常的進程（使用 top、htop 以及 ps -aux 進行檢查），於是報障。

檢測過程：

1.找到他shell腳本對應目錄把目錄或者文件刪除。

2.檢查定時任務是否存在挖礦木馬文件在定時任務中，避免定時運行挖礦木馬文件。

3.添加hosts挖礦病毒訪問對應網站，避免二次訪問並下載。

4.排查liunx命令是否損壞，如損壞下載"procps-3.2.8"並編譯，恢復top等系列命令。

5.檢測進程是否異常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的網站程序是否存在漏洞，並排查下nginx或者apache日誌審查漏洞所在處。

7.排查ssh登錄日誌。

8.把ssh登錄切換成秘鑰登錄。

9.重啟伺服器，檢查是否進程是否正常。

G. 什麼是挖礦木馬

就是會讓你電腦自動挖礦的病毒
殺毒軟體直接殺毒不就得了么
安裝個電腦管家到電腦上
然後使用病毒查殺，對著你的電腦殺毒就行了

H. 挖礦木馬是什麼

就是你電腦後台自行消耗顯卡與CPU資源的木馬病毒，這種木馬是看你電腦配置很高，後台自行挖礦，你一般看不出來，但是你顯卡或CPU佔用很高的。