挖礦病毒消除了

1. 記一次解決挖礦病毒的過程（sysupdate、networkservice）

我也是有一段時間伺服器變的很卡，那時我還以為是我自己的軟體裝太多導致的問題，不看不知道，看了嚇一跳，伺服器已經被攻擊了，接下來，我來分享下如何查找和解決這個病毒。

當發現伺服器卡的時候，我們可以採用top命令，如下顯示

我們注意看以上這幾個進程，沒稍加註意的話，我們還以為這幾個是正常的進程，為啥呢？

1、畢竟這幾個的user是apache、www、nobody，因為我的web站點，文件目錄是www目錄，所以這個地方很容易被誤認為就是我們的站點目錄，而且apache本來是web服務，它取成了這個名詞，也容易混淆我們的視野。
2、後面的command名稱取成了networkservice 和sysupdate，名稱很像我們的系統進程，
3、每個進程的cpu佔用都比較小，平均差不多20%個cpu，可是這么多進程加起來，CPU佔用就爆炸了，將近100%了

從上面這個地方可以發現這個攻擊者很聰明，懂得用這種名稱來混淆我們的視野

從上面的top命令知道了這幾個佔用比較大的進程號，我們可以根據其中的某個進程，比如7081入手，來查找其他關聯的進程，使用以下命令，如下圖所示

進入到/etc目錄下，
我們可以看到有sysupdate、networkservice、sysguard三個文件，這三個文件都是二進制文件，這三個應該就是挖礦的主程序和守護程序。還有一個update.sh文件，這應該是對挖礦病毒升級用的。這個update.sh怎麼找出來的呢，其實是通過定時程序裡面的cron找出來的。

再進入到 /var/spool/cron看下定時程序
如下圖所示

可以看到這幾個文件名稱，和剛剛佔用cpu高的進程user，名稱是一樣的

這樣就可以確認的確是病毒攻擊了伺服器

1、刪除所有的定時程序
進入到/etc/crontab、/var/spool/cron/root、/var/spool/cron/crontabs/root等目錄中，刪除其中的定時腳本。
也要記得刪除定時任務，crontab -e，刪除其中的腳本

2、殺掉進程，並刪除文件
以下這幾張圖片的進程id，分別進行kill殺掉

然後刪除/etc下面的 sysupdate、networkservice、sysguard、update.sh和config.json幾個文件
這時候，你可能會發現無法刪除，因為病毒使用了chattr +i 命令，使用如下命令即可刪除

每個無法刪除的文件，都執行如上命令，即可實現刪除文件

3、/root/.ssh/authorized_keys 刪除
可能攻擊者已經在這里配置了登陸，攻擊者可以隨便登陸你的伺服器，你這里要把秘鑰也修改下
經過這些處理後，可以發現我們的伺服器已經不再卡了，如下，沒有佔用高的程序了

轉自： https://www.jianshu.com/p/b99378f0cf8f

2. 挖礦病毒怎麼處理

挖礦病毒處理步驟如下：

1、查看伺服器進程運行狀態查看伺服器系統整體運行情況，發現名為kdevtmpfsi的挖礦進程大量佔用系統CPU使用率。

2、查看埠及外聯情況查看埠開放狀態及外聯情況，發現主機存在陌生外聯行為。對該外部地址進行查詢發現屬於國外地址，進一步確定該進程為惡意挖礦進程：定位挖礦進程及其守護進程PID挖礦病毒kdevtmpfsi在運行過程中不僅會產生進程kdevtmpfsi。

6、查看redis日誌通過查看redis配置文件/etc/redis.conf發現日誌功能未開啟。

7、查找敏感文件發現authorized_keys文件。

8、查看ssh日誌文件查看ssh日誌文件，發現大量登陸痕跡以及公鑰上傳痕跡。

3. 電腦被挖礦了怎麼恢復！求助！（已經卸載並且將其殺毒）

重裝一遍系統，就完全恢復了

任何挖坑都需要安裝軟體的，重裝系統，這些軟體都消失了
本質上挖坑，其實就是運行某個軟體，如果不是本人安裝，都是通過木馬安裝的

4. 伺服器上如何清除NrsMiner挖礦病毒

挖礦病毒完整清除過程如下，請在斷網情況下進行：

1.停止並禁用Hyper-VAccess Protection Agent Service服務；

2.刪除C:Windowssystem32NrsDataCache.tlb；

3.刪除C:.dll，若刪除失敗，可重命名該文件為其他名稱；

4.重啟計算機；

5.刪除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目錄；

6.刪除C:Windowssystem32SecUpdateHost.exe。

7.到微軟官方網站下載對應操作系統補丁，下載鏈接如下：https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

8.安裝國內主流殺毒軟體，及時更新至最新病毒特徵庫。

5. miner挖礦木馬該怎麼清除

miner挖礦木馬這種病毒現在經常遇到，在一般情況下使用電腦管家的殺毒功能時無法查殺。

這時需要重啟電腦按F8進入電腦的安全模式，在安全模式下，使用電腦管家的病毒查殺，給電腦殺毒，在一般情況下的殺毒軟體可以查殺到此病毒。

miner挖礦木馬是消耗用戶的電腦資源，進行挖礦，導致用戶電腦資源和性能變低，一般看不出來，但是顯卡或CPU佔用很高，是電腦後台自行消耗顯卡與CPU資源的木馬病毒。現在十分常見。

6. 電腦中了挖礦病毒

方法/步驟
首先，如果是菜鳥寫出的病毒，大家可以太任務管理器中，找到該文件路徑，直接終結進程樹，或直接找到路徑刪除即可。

2/6
第二，如果對方技術夠本，我們很難終結進程，那麼，我們可以下載一個電腦管家，現在的電腦管家也增大了挖礦病毒的掃描率，如果查找到直接清理即可。

3/6
第三，如果電腦管家也無法搞定那麼，我們可以avast查殺，這個程序在殺毒方面，簡直是第一，對於挖礦病毒來說，更是猶如利劍。

4/6
第四，如果使用avast之後，我們還懷疑電腦有挖礦病毒的話，我們先打開進程手動把文檔路徑放到隔離區。

5/6
第五，在放到隔離區之後，我們使用avast的放鬆以供分析，然後發給avast的工作員工，備注懷疑是挖礦病毒，對方給我們人工分析，如果是，對方也會幫我們刪除。

6/6
第六，如果在專業堅定之後，我們還有所懷疑的話，如果不是大牛，那麼，大舅就需要重裝電腦了，畢竟，一裝百物清。
網路經驗:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望採納謝謝(≧∇≦)

7. linux被挖礦重裝系統能清除嗎

可以的
xmrig是一種挖礦病毒,通常會搶占伺服器的資源,導致伺服器超負荷運轉,出現服務宕機的情況。

8. 手機如何清除挖礦木馬

下載殺毒軟體，比如手機安全衛士，進行殺毒清理，然後重啟手機就可以了。

9. 360能清除挖礦病毒嗎

能。360安全中心本月16日宣布，近期監測到一類挖礦木馬異常活躍，三天內感染約50萬部個人電腦，360安全衛士查殺攔截此類挖礦病毒已超過50萬次，360能清除挖礦病毒，360免費安全軟體平台和智能硬體家居平台。

10. 解決挖礦病毒的經歷

線上一台伺服器，CPU高達90%以上，經過top 分析出進程kdevtmpfsi
kill -9 殺死進程無果，很快就會自動恢復
排查步驟：

結果：

病毒被植入到了線上運行的某一docker容器內。

如何先確定是哪一容器再去刪除搜索結果中的病毒文件？

我這台機器跑的容器不多，可以用復制文件的方法，先 docker cp 一個文件到容器中。再去find 這個文件
如果結果還是在剛才搜索病毒的那個文件目錄下（/var/lib/docker/devicemapper/mnt/xxxxx ）就可以確定容器了。結果是php的容器出現了問題。

知道是具體是什麼容器出現了問題，最快的辦法就是先重啟一個新的容器。
我這邊是nginx +php 兩種服務容器，所以先啟動了一個新php容器，修改nginx中配置文件代理後端php伺服器埠為新容器的IP地址。（nginx容器已經映射目錄到宿主機）

修改PHP後端IP地址
cd 宿主機映射nginx的配置文件位置目錄

測試線上環境正常後，刪除原來的php容器。（這是自然也==直接刪除了病毒文件）
執行 TOP命令，CPU佔用正常。
平時防火牆和sellinux都關閉的話，伺服器不要暴漏太多無用埠，出現問題應該最新通過進程名去查找文件的原始位置去分析問題，遇到挖礦病毒也應該多注意/etc/init.d下和cron計劃任務有無異常。
後期也可以寫個cron或者腳本