挖礦軟體報毒

『壹』 解決挖礦病毒的經歷

線上一台伺服器，CPU高達90%以上，經過top 分析出進程kdevtmpfsi
kill -9 殺死進程無果，很快就會自動恢復
排查步驟：

結果：

病毒被植入到了線上運行的某一docker容器內。

如何先確定是哪一容器再去刪除搜索結果中的病毒文件？

我這台機器跑的容器不多，可以用復制文件的方法，先 docker cp 一個文件到容器中。再去find 這個文件
如果結果還是在剛才搜索病毒的那個文件目錄下（/var/lib/docker/devicemapper/mnt/xxxxx ）就可以確定容器了。結果是php的容器出現了問題。

知道是具體是什麼容器出現了問題，最快的辦法就是先重啟一個新的容器。
我這邊是nginx +php 兩種服務容器，所以先啟動了一個新php容器，修改nginx中配置文件代理後端php伺服器埠為新容器的IP地址。（nginx容器已經映射目錄到宿主機）

修改PHP後端IP地址
cd 宿主機映射nginx的配置文件位置目錄

測試線上環境正常後，刪除原來的php容器。（這是自然也==直接刪除了病毒文件）
執行 TOP命令，CPU佔用正常。
平時防火牆和sellinux都關閉的話，伺服器不要暴漏太多無用埠，出現問題應該最新通過進程名去查找文件的原始位置去分析問題，遇到挖礦病毒也應該多注意/etc/init.d下和cron計劃任務有無異常。
後期也可以寫個cron或者腳本

『貳』 挖礦病毒怎麼排查

登錄系統查看任務管理器，查看佔用內存較大且無法關閉的進程。進程上點擊滑鼠右鍵，打開文件位置（先要在文件夾選項中選擇顯示隱藏文件及操作系文件）。此時你可能會看到有一個Systmss.exe進程和模仿操作系統的svchost.exe進程這里還可以看到一個2.bat文件，右鍵編輯打開這個文件查看，可查看到惡意進程與哪個挖礦組織通信。

通過查看系統操作日誌可分析出病毒的來源、啟動時間等信息，一般原因可能是未關閉3389埠且使用了弱密碼導致黑客遠程登錄上次病毒。

根除病毒：將病毒可執行文件Systmss.exe重命名為Systmss.exe1使病毒無法執行，此時可從任務管理器停止進程。打開注冊表編輯器刪除HKEY_LOCAL_整個目錄。

如果是Linux系統請參考：網頁鏈接

『叄』 電腦中了挖礦病毒 怎麼辦阿 著急 新手小白

ctrl+alt+delete打開任務管理器試一下是否有異常進程暫用cpu

另外可以下載安裝360安全衛士開啟反挖礦防護，有效攔截，並且使用木馬查殺進行全盤查殺

『肆』 挖礦病毒怎麼處理

挖礦病毒處理步驟如下：

1、查看伺服器進程運行狀態查看伺服器系統整體運行情況，發現名為kdevtmpfsi的挖礦進程大量佔用系統CPU使用率。

2、查看埠及外聯情況查看埠開放狀態及外聯情況，發現主機存在陌生外聯行為。對該外部地址進行查詢發現屬於國外地址，進一步確定該進程為惡意挖礦進程：定位挖礦進程及其守護進程PID挖礦病毒kdevtmpfsi在運行過程中不僅會產生進程kdevtmpfsi。

6、查看redis日誌通過查看redis配置文件/etc/redis.conf發現日誌功能未開啟。

7、查找敏感文件發現authorized_keys文件。

8、查看ssh日誌文件查看ssh日誌文件，發現大量登陸痕跡以及公鑰上傳痕跡。

『伍』 中挖礦病毒的表現

故障現象：使用過程中，發現經常有服務無故關閉，登錄伺服器經檢查，發現CPU使用率達到100%。在檢測異常進程中，未發現CPU使用率異常的進程（使用 top、htop 以及 ps -aux 進行檢查），於是報障。

檢測過程：

1.找到他shell腳本對應目錄把目錄或者文件刪除。

2.檢查定時任務是否存在挖礦木馬文件在定時任務中，避免定時運行挖礦木馬文件。

3.添加hosts挖礦病毒訪問對應網站，避免二次訪問並下載。

4.排查liunx命令是否損壞，如損壞下載"procps-3.2.8"並編譯，恢復top等系列命令。

5.檢測進程是否異常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的網站程序是否存在漏洞，並排查下nginx或者apache日誌審查漏洞所在處。

7.排查ssh登錄日誌。

8.把ssh登錄切換成秘鑰登錄。

9.重啟伺服器，檢查是否進程是否正常。

『陸』 挖礦病毒

自從比特幣火起來以後，運維和安全同學就經常受到挖礦病毒的騷擾，如果有人說機器cpu被莫名其妙的程序佔用百分之八十以上，大概率是中了挖礦病毒。

說說挖礦病毒的幾個特點：

一、cpu佔用高，就是文中一開始所說的，因為挖礦病毒的目的就是為了讓機器不停的計算來獲利，所以cpu利用率都會很高。

二、進程名非常奇怪，或者隱藏進程名。發現機器異常以後，使用top命令查看，情況好的能看到進程名，名字命名奇怪，我見過的linux上中毒的是以. exe命名的程序。對於隱藏進程名這種情況，找起來就更加費事了，需要查看具備linux相關的系統知識。

三、殺死後復活，找到進程之後，用kill命令發現很快就會復活，挖礦病毒一般都有守護進程，要殺死守護進程才行。

四、內網環境下，一台機器被感染，傳播迅速，很快會感染到其他機器。

挖礦病毒的防禦

挖礦病毒最好的防禦重在平時安全規范，內網機器不要私自將服務開放到公司，需要走公司的統一介面，統一介面在請求進入到內網之前，會有安全措施，是公司入口的第一道安全門。還有就是公司內網做好隔離，主要是防止一個環境感染病毒，擴散到全網。

對於已經感染的情況，可以通過dns劫持病毒訪問的域名，公網出口過濾訪問的地址，這些手段是防止病毒擴大的手段，對於已經感染的機器，只能通過開始講的幾種方法找到並殺死病毒了。

『柒』 記一次解決挖礦病毒的過程（sysupdate、networkservice）

我也是有一段時間伺服器變的很卡，那時我還以為是我自己的軟體裝太多導致的問題，不看不知道，看了嚇一跳，伺服器已經被攻擊了，接下來，我來分享下如何查找和解決這個病毒。

當發現伺服器卡的時候，我們可以採用top命令，如下顯示

我們注意看以上這幾個進程，沒稍加註意的話，我們還以為這幾個是正常的進程，為啥呢？

1、畢竟這幾個的user是apache、www、nobody，因為我的web站點，文件目錄是www目錄，所以這個地方很容易被誤認為就是我們的站點目錄，而且apache本來是web服務，它取成了這個名詞，也容易混淆我們的視野。
2、後面的command名稱取成了networkservice 和sysupdate，名稱很像我們的系統進程，
3、每個進程的cpu佔用都比較小，平均差不多20%個cpu，可是這么多進程加起來，CPU佔用就爆炸了，將近100%了

從上面這個地方可以發現這個攻擊者很聰明，懂得用這種名稱來混淆我們的視野

從上面的top命令知道了這幾個佔用比較大的進程號，我們可以根據其中的某個進程，比如7081入手，來查找其他關聯的進程，使用以下命令，如下圖所示

進入到/etc目錄下，
我們可以看到有sysupdate、networkservice、sysguard三個文件，這三個文件都是二進制文件，這三個應該就是挖礦的主程序和守護程序。還有一個update.sh文件，這應該是對挖礦病毒升級用的。這個update.sh怎麼找出來的呢，其實是通過定時程序裡面的cron找出來的。

再進入到 /var/spool/cron看下定時程序
如下圖所示

可以看到這幾個文件名稱，和剛剛佔用cpu高的進程user，名稱是一樣的

這樣就可以確認的確是病毒攻擊了伺服器

1、刪除所有的定時程序
進入到/etc/crontab、/var/spool/cron/root、/var/spool/cron/crontabs/root等目錄中，刪除其中的定時腳本。
也要記得刪除定時任務，crontab -e，刪除其中的腳本

2、殺掉進程，並刪除文件
以下這幾張圖片的進程id，分別進行kill殺掉

然後刪除/etc下面的 sysupdate、networkservice、sysguard、update.sh和config.json幾個文件
這時候，你可能會發現無法刪除，因為病毒使用了chattr +i 命令，使用如下命令即可刪除

每個無法刪除的文件，都執行如上命令，即可實現刪除文件

3、/root/.ssh/authorized_keys 刪除
可能攻擊者已經在這里配置了登陸，攻擊者可以隨便登陸你的伺服器，你這里要把秘鑰也修改下
經過這些處理後，可以發現我們的伺服器已經不再卡了，如下，沒有佔用高的程序了

轉自： https://www.jianshu.com/p/b99378f0cf8f

『捌』 手機中了挖礦病毒不恢復出廠設置怎麼殺毒

智能手機跟電腦一樣是有可能會中病毒的，尤其是在安裝了帶有病毒的應用後，手機中病毒的幾率也會大很多。一旦手機中病毒了就會給它的安全性帶來影響，比如手機裡面的簡訊、電腦會被竊取，手機中的各類賬號也會被盜等等，給自己造成經濟損失。當手機中毒後就需要為它殺毒，避免手機因病毒而造成損失。那麼，手機怎樣殺毒？本文為大家介紹具體的殺毒方法。

手機怎樣殺毒

最簡單的手機殺毒方法是安裝擁有手機殺毒的軟體，例如360手機衛士。下面以360手機衛士為例子，介紹如何給手機殺毒。

步驟一：打開360手機衛士，點擊手機殺毒。

步驟二：點擊快速掃描，等待掃描結果。

掃描完成後，會提示是否發現病毒，如果發現病毒，可做清理處理。

步驟三：如果快速掃描發現病毒，清理後還是覺得不放心，可以點擊全盤掃描，全面掃描手機，徹底殺毒。

利用騰訊手機管家殺毒

1、手機可以安裝殺毒軟體，直接進行查殺，如騰訊手機管家，還能優化手機系統，提升手機的運行速度。

用騰訊手機管家殺毒的步驟是：到官網下載安裝最新版本的騰訊手機管家，安裝後更新病毒庫-再在手機桌面點擊騰訊手機管家-選擇病毒查殺-選擇快速掃描(或者全盤掃描)即可對手機進行徹底殺毒。

2、在電腦上進行手機殺毒，首先，要通過數據線將你的手機與電腦相連，電腦上便會出現可移動硬碟。比如你只需要打開騰訊電腦管家，找到【殺毒】功能，可以很醒目的看到殺毒選項。你可以根據需要選擇【閃電查殺、全盤查殺、和自定義位置查殺】三種模式進行查殺。

手機上具備殺毒功能的管家軟體眾多，除了騰訊手機管家外，還有樂安全手機管家、金山手機管家、lbe安全大師等，功能也是大同小異，但是目的是一樣的，都是在竭力的為手機的安全盡職盡責。

手機殺毒方法都是差不多，只要安裝了殺毒軟體後就能夠有效的幫助手機進行殺毒，避免手機因為中病毒而造成損失。在平常生活中應該要給手機安裝一個殺毒軟體，無論是360安全衛士還是騰訊手機管家、網路、搜狗等等，大多可以對手機起到好的防護作用，幫助手機防護，避免手機被病毒容易侵襲，造成一定量的經濟損失。

『玖』 電腦中挖礦病毒了怎麼辦

電腦中病毒，那麼最好的解決辦法就是格式化系統盤或是全盤，或是重新分區後重裝系統，通過系統光碟或是製作的u盤啟動盤來安裝，通過快捷鍵或是進入bios中設置開機啟動項從cd或是usb啟動然後安裝系統，這樣電腦就可以恢復正常使用運行的

『拾』 miner挖礦木馬該怎麼清除

miner挖礦木馬這種病毒現在經常遇到，在一般情況下使用電腦管家的殺毒功能時無法查殺。

這時需要重啟電腦按F8進入電腦的安全模春遲姿式，在安全模式下，使用電腦旦嫌管家的病毒查殺，扒絕給電腦殺毒，在一般情況下的殺毒軟體可以查殺到此病毒。

miner挖礦木馬是消耗用戶的電腦資源，進行挖礦，導致用戶電腦資源和性能變低，一般看不出來，但是顯卡或CPU佔用很高，是電腦後台自行消耗顯卡與CPU資源的木馬病毒。現在十分常見。