win伺服器挖礦進程
㈠ 伺服器上kdevtmpfsi挖礦程序怎麼清除,進程殺掉還回自動起來
你可以先使用360進行殺毒,如果是頑固病毒,建議你是重裝一下系統
㈡ 阿里雲windows伺服器如何去除挖礦病毒
找到進程,然後找到他文件路徑,幹掉進程,刪掉文件。
另外找找其他可疑進程,避免病毒有守護進程或者其他隱藏進程
㈢ windows系統常見的伺服器宿主進程是那些
(1)alg.exe
是微軟windows操作系統自帶的程序。它用於處理微軟windows網路連接共享和網路連接防火牆。這個程序對你系統的正常運行是非常重要的。
(2)csrss.exe
是微軟客戶端/服務端運行時子系統。該進程管理windows圖形相關任務。這個程序對你系統的正常運行是非常重要的。
注意:csrss.exe也有可能是w32.netsky.ab@mm、w32.webus木馬、win32.ladex.a等病毒創建的。該病毒通過email郵件進行傳播,當你打開附件時,即被感染。該蠕蟲會在受害者機器上建立smtp服務,用以自身傳播。該病毒允許攻擊者訪問你的計算機,竊取木馬和個人數據。請注意此進程所在的文件夾,正常的進程應該是在windows的system32和servicepackfiles\i386下面。
(3)ctfmon.exe
是microsoft office產品套裝的一部分。它可以選擇用戶文字輸入程序,和微軟office xp語言條。這不是純粹的系統程序,但是如果終止它,可能會導致不可知的問題。
(4)explorer.exe
是windows程序管理器或者windows資源管理器,它用於管理windows圖形殼,包括開始菜單、任務欄、桌面和文件管理。刪除該程序會導致windows圖形界面無法適用。
注意:explorer.exe也有可能是w32.codered和w32.mydoom.b@mm病毒。該病毒通過email郵件傳播,當你打開附件時,就會被感染。該蠕蟲會在受害者機器上建立smtp服務,用於更大范圍的傳播。該蠕蟲允許攻擊者訪問你的計算機,竊取密碼和個人數據。請注意此進程所在的文件夾,正常的進程應該是在windows和servicepackfiles\i386下面。
(5)iexplore.exe
是microsoft internet explorer的主程序。這個微軟windows應用程序讓你在網上沖浪,和訪問本地interanet網路。這不是純粹的系統程序,但是如果終止它,可能會導致不可知的問題。iexplore.exe同時也是avant網路瀏覽器的一部分,這是一個免費的基於internet explorer的瀏覽器。
注意:iexplore.exe也有可能是木馬.killav.b病毒,該病毒會終止你的反病毒軟體,和一些windows系統工具。正常的進程應該是在\programfiles\internetexplorer和system32\dllcache下面。
(6)lsass.exe
是一個關於微軟安全機制的系統進程,主要處理一些特殊的安全機制和登錄策略。
(7) notepad.exe
是windows自帶的記事本程序。是windows默認用來打開和編輯文本文件的程序。
(8)services.exe
是微軟windows操作系統的一部分。用於管理啟動和停止服務。該進程也會處理在計算機啟動和關機時運行的服務。這個程序對你系統的正常運行是非常重要的。
注意:services也可能是w32.randex.r(儲存在%systemroot%\system32\目錄)和sober.p (儲存在%systemroot%\connection wizard\status\目錄)木馬。該木馬允許攻擊者訪問你的計算機,竊取密碼和個人數據。該進程的安全等級是建議立即刪除。
(9)smss.exe
是微軟windows操作系統的一部分。該進程調用對話管理子系統和負責操作你系統的對話。這個程序對你系統的正常運行是非常重要的。
注意:smss.exe也可能是win32.ladex.a木馬。該木馬允許攻擊者訪問你的計算機,竊取密碼和個人數據。請注意此進程所在的文件夾,正常的進程應該是在windows的system32和servicepackfiles\i386下面。
(10)spoolsv.exe
用於將windows列印機任務發送給本地列印機。
注意:spoolsv.exe也有可能是backdoor.ciadoor.b木馬。該木馬允許攻擊者訪問你的計算機,竊取密碼和個人數據。請注意此進程所在的文件夾,正常的進程應該是在windows的system32和servicepackfiles\i386下面。如果出現在spoolsv目錄下,則可能一些ie插件的文件,建議使用反間諜進行掃描。
(11)svchost.exe(6個)
是一個屬於微軟windows操作系統的系統程序,用於執行dll文件。這個程序對你系統的正常運行是非常重要的。
注意:svchost.exe也有可能是w32.welchia.worm病毒,它利用windowslsass漏洞,製造緩沖區溢出,導致你計算機關機。請注意此進程的名字,還有一個病毒是svch0st.exe,名字中間的是數字0,而不是英文字母o。請注意此進程所在的文件夾,正常的進程應該是在windows的system32和servicepackfiles\i386下面。
(12)system
是windows頁面內存管理進程,擁有0級優先。
(13)system Idle process
它更多用於是顯示剩餘的cpu資源情況。無法刪除該進程。
(14)taskmgr.exe
用於windows任務管理器。它顯示你系統中正在運行的進程。該程序使用ctrl+alt+del打開,這不是純粹的系統程序,但是如果終止它,可能會導致不可知的問題。
(15)winlogon.exe
是windows域登陸管理器。它用於處理你登陸和退出系統過程。該進程在你系統的作用是非常重要的。
㈣ 請教大神,伺服器被挖礦程序入侵如何排插
重裝系統,並做好安全加固是最好的辦法。
如果非要排查,也簡單,你看系統進程,是否有不常見的就知道了。
不過自己處理安全,一般都無法徹底,建議還是找專業安全公司(如護衛神)好些。
㈤ 求助伺服器被挖礦程序入侵,如何排查
新客戶於最近向我們SINE安全公司咨詢,說他的伺服器經常卡的網站無法打開,遠程連接
伺服器的慢的要命,有時候PING值都達到300-500之間,還經常掉包,聽客戶這么一說,一般
會判斷為受到了CC+DDOS混合流量攻擊,再具體一問,說是機房那面沒有受到流量攻擊,這
就有點奇怪了,不是流量攻擊,還導致伺服器卡,網站無法打開,這是什麼攻擊?為了解決客
戶伺服器卡的問題,我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。
挖礦木馬還設計了挖礦進程如果被客戶強制停止後,會自動啟動繼續挖礦,達到不間斷的挖礦,
仔細檢查發現是通過設置了每個小時執行任務計劃,遠程下載shell挖礦木馬,然後執行,檢查
當前進程是否存在,不存在就啟動挖礦木馬,進行挖礦。
對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據,以及感染蠕蟲的病
毒,如果數據被加密那損失大了,客戶是做平台的,裡面的客戶數據很重要,找出挖礦木馬後,
客戶需要知道伺服器到底是如何被攻擊的? 被上傳挖礦木馬的? 防止後期再出現這樣的攻擊
狀況。
通過我們安全工程師的安全檢測與分析,發現該伺服器使用的是apache tomcat環境,平台的開
發架構是JSP+oracle資料庫,apache tomcat使用的是2016年的版本,導致該apache存在嚴重
的遠程執行命令漏洞,入侵者可以通過該漏洞直接入侵伺服器,拿到伺服器的管理員許可權,
SINE安全工程師立即對apache 漏洞進行修復,並清除木馬,至此問題得以解決,客戶伺服器
一切穩定運行,網站打開正常。
㈥ 阿里雲windows伺服器中了挖礦的病毒怎麼清理
光刪除沒用的,因為沒有解決好漏洞。
建議是重做系統,然後找護衛神給你做一下系統安全加固,把漏洞徹底堵住才有效果。
㈦ WINDOWS下ETH本地節點挖礦
ETH 挖礦主要是使用顯卡來挖礦。因此你需要一台擁有以下設備的PC:
顯卡、主板、電源、CPU、內存、硬碟(推薦 60G 以上 SSD)、延長線、轉接線等。
其中顯卡決定挖礦的速度,主板、電源在很大程度上決定了礦機運行的穩定程度。
㈧ win2008伺服器中了挖礦病毒,求解答!
不能完全殺干凈的前提下,備份好自己的數據,然後重裝系統,不然這樣耽誤工作真的很麻煩
㈨ win版vps被植入流氓挖礦程序,求教
備份下主機數據,然後重裝系統
不要用版本太老的系統,建議2012或者2016
重裝系統之後刪除除管理員外的其他賬戶,然後安裝360安全衛士打補丁
安裝伺服器安全軟體