Linux挖礦木馬怎麼查殺

① miner挖礦木馬該怎麼清除

miner挖礦木馬這種病毒現在經常遇到，在一般情況下使用電腦管家的殺毒功能時無法查殺。

這時需要重啟電腦按F8進入電腦的安全模春遲姿式，在安全模式下，使用電腦旦嫌管家的病毒查殺，扒絕給電腦殺毒，在一般情況下的殺毒軟體可以查殺到此病毒。

miner挖礦木馬是消耗用戶的電腦資源，進行挖礦，導致用戶電腦資源和性能變低，一般看不出來，但是顯卡或CPU佔用很高，是電腦後台自行消耗顯卡與CPU資源的木馬病毒。現在十分常見。

② LTC挖礦軟體cgminer內有木馬怎麼辦

你這個軟體就說明帶有木馬呀
Trojan一詞的特洛伊木馬本意是特洛伊的，指特洛伊木馬，是木馬計的故事
如果電腦中了木馬建議盡快殺毒以免造成系統問題
可以先做一次全盤殺毒
然後針對性的：
騰訊電腦管家--工具箱--木馬剋星
最後開啟實時防毒保護。

③ 電腦中了某挖礦病毒，應該怎麼查殺

電腦中病毒，那麼最好的解決辦法就是格式化系統盤或是全盤，或是重新分區後重裝系統，通過系統光碟或是製作的u盤啟動盤來安裝，通過快捷鍵或是進入bios中設置開機啟動項從cd或是usb啟動然後安裝系統，這樣電腦就可以恢復正常使用運行的

④ linux伺服器中木馬怎麼處理

以下從幾個方面在說明Linux系統環境安排配置防範和木馬後門查殺的方法：

一、Web Server（以Nginx為例）

1、為防止跨站感染，將虛擬主機目錄隔離（可以直接利用fpm建立多個程序池達到隔離效果）

2、上傳目錄、include類的庫文件目錄要禁止代碼執行（Nginx正則過濾）

3、path_info漏洞修正：

在nginx配置文件中增加：

if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}
4、重新編譯Web Server，隱藏Server信息

5、打開相關級別的日誌，追蹤可疑請求，請求者IP等相關信息。

二.改變目錄和文件屬性，禁止寫入

find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;
註：當然要排除上傳目錄、緩存目錄等；

同時最好禁止chmod函數，攻擊者可通過chmod來修改文件只讀屬性再修改文件！

三.PHP配置

修改php.ini配置文件，禁用危險函數：

disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四.MySQL資料庫賬號安全：

禁止mysql用戶外部鏈接，程序不要使用root賬號，最好單獨建立一個有限許可權的賬號專門用於Web程序。

五.查殺木馬、後門

grep -r –include=*.php 『[^a-z]eval($_POST』 . > grep.txt
grep -r –include=*.php 『file_put_contents(.*$_POST\[.*\]);』 . > grep.txt
把搜索結果寫入文件，下載下來慢慢分析，其他特徵木馬、後門類似。有必要的話可對全站所有文件來一次特徵查找，上傳圖片肯定有也捆綁的，來次大清洗。

查找近2天被修改過的文件：

find -mtime -2 -type f -name \*.php
注意：攻擊者可能會通過touch函數來修改文件時間屬性來避過這種查找，所以touch必須禁止

六.及時給Linux系統和Web程序打補丁，堵上漏洞

⑤ 挖礦病毒怎麼排查

登錄系統查看任務管理器，查看佔用內存較大且無法關閉的進程。進程上點擊滑鼠右鍵，打開文件位置（先要在文件夾選項中選擇顯示隱藏文件及操作系文件）。此時你可能會看到有一個Systmss.exe進程和模仿操作系統的svchost.exe進程這里還可以看到一個2.bat文件，右鍵編輯打開這個文件查看，可查看到惡意進程與哪個挖礦組織通信。

通過查看系統操作日誌可分析出病毒的來源、啟動時間等信息，一般原因可能是未關閉3389埠且使用了弱密碼導致黑客遠程登錄上次病毒。

根除病毒：將病毒可執行文件Systmss.exe重命名為Systmss.exe1使病毒無法執行，此時可從任務管理器停止進程。打開注冊表編輯器刪除HKEY_LOCAL_整個目錄。

如果是Linux系統請參考：網頁鏈接

⑥ 電腦中了挖礦病毒

方法/步驟
首先，如果是菜鳥寫出的病毒，大家可以太任務管理器中，找到該文件路徑，直接終結進程樹，或直接找到路徑刪除即可。

2/6
第二，如果對方技術夠本，我們很難終結進程，那麼，我們可以下載一個電腦管家，現在的電腦管家也增大了挖礦病毒的掃描率，如果查找到直接清理即可。

3/6
第三，如果電腦管家也無法搞定那麼，我們可以avast查殺，這個程序在殺毒方面，簡直是第一，對於挖礦病毒來說，更是猶如利劍。

4/6
第四，如果使用avast之後，我們還懷疑電腦有挖礦病毒的話，我們先打開進程手動把文檔路徑放到隔離區。

5/6
第五，在放到隔離區之後，我們使用avast的放鬆以供分析，然後發給avast的工作員工，備注懷疑是挖礦病毒，對方給我們人工分析，如果是，對方也會幫我們刪除。

6/6
第六，如果在專業堅定之後，我們還有所懷疑的話，如果不是大牛，那麼，大舅就需要重裝電腦了，畢竟，一裝百物清。
網路經驗:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望採納謝謝(≧∇≦)

⑦ 挖礦木馬類型： virus.js.qexvmc.1 描述： 惡意軟體是對病毒、木馬、蠕蟲、後門程序等危害用戶計算機及

朋友你好，有些病毒在正常模式下是殺不掉的，你可以如下操作試試：（1）重啟後，F8 進帶網路安全模式（2）用360安全衛士依次進行：清除插件、清除垃圾、清除痕跡、系統修復、高級工具「開機啟動項管理」一鍵優化、使用「木馬查殺」殺木馬，用360殺毒全盤殺毒。如果還沒清除用下以方案：（3）重新啟動，F8 進帶網路安全模式（4）用360系統急救箱試一試 ，希望能幫助你

⑧ 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。