linux清理挖礦病毒

Ⅰ 挖礦病毒怎麼排查

登錄系統查看任務管理器，查看佔用內存較大且無法關閉的進程。進程上點擊滑鼠右鍵，打開文件位置（先要在文件夾選項中選擇顯示隱藏文件及操作系文件）。此時你可能會看到有一個Systmss.exe進程和模仿操作系統的svchost.exe進程這里還可以看到一個2.bat文件，右鍵編輯打開這個文件查看，可查看到惡意進程與哪個挖礦組織通信。

通過查看系統操作日誌可分析出病毒的來源、啟動時間等信息，一般原因可能是未關閉3389埠且使用了弱密碼導致黑客遠程登錄上次病毒。

根除病毒：將病毒可執行文件Systmss.exe重命名為Systmss.exe1使病毒無法執行，此時可從任務管理器停止進程。打開注冊表編輯器刪除HKEY_LOCAL_整個目錄。

如果是Linux系統請參考：網頁鏈接

Ⅱ 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。

Ⅲ Linux.coinminer木馬如何清除

這個就看個文件名，沒辦法准確看是不是病毒的最好還是用安全軟體進行一下檢測可以裝個電腦管家，然後選擇病毒查殺，把這個病毒從電腦刪除了就行

Ⅳ 如何清除linux病毒

方法/步驟

首先我們要先確定是哪台機器的網卡在向外發包，還好我們這邊有zabbix監控，我就一台一台的檢查，發現有一台的流量跑滿了，問題應該出現在這台機器上面

我登錄到機器裡面，查看了一下網卡的流量，我的天啊，居然跑了這個多流量。

這台機器主要是運行了一個tomcat WEB服務和oracle資料庫，問題不應該出現在WEB服務和資料庫上面，我檢查了一下WEB日誌，沒有發現什麼異常，查看資料庫也都正常，也沒有什麼錯誤日誌，查看系統日誌，也沒有看到什麼異常，我趕緊查看了一下目前運行的進程情況，看看有沒有什麼異常的進程，一查看，果然發現幾個異常進程，不仔細看還真看不出來，這些進程都是不正常的。

這是個什麼進程呢，我每次ps -ef都不一樣，一直在變動，進程號一一直在變動中，我想看看進程打開了什麼文件都行，一時無從下手，想到這里，我突然意識到這應該都是一些子進程，由一個主進程進行管理，所以看這些子進程是沒有用的，即便我殺掉他們還會有新的生成，擒賊先擒王，我們去找一下主進程，我用top d1實時查看進程使用資源的情況，看看是不是有異常的進程佔用cpu內存等資源，發現了一個奇怪的進程，平時沒有見過。這個應該是我們尋找的木馬主進程。

我嘗試殺掉這個進程，killall -9 ueksinzina，可是殺掉之後ps -ef查看還是有那些子進程，難道沒有殺掉？再次top d1查看，發現有出現了一個其他的主進程，看來殺是殺不掉的，要是那麼容易殺掉就不是木馬了。

可以看到裡面有個定時任務gcc4.sh，這個不是我們設定的，查看一下內容更加奇怪了，這個應該是監聽程序死掉後來啟動的，我們這邊把有關的配置全部刪掉，並且刪掉/lib/libudev4.so。

在/etc/init.d/目錄下面也發現了這個文件。

裡面的內容是開機啟動的信息，這個我們也給刪掉

到此為止，沒有新的木馬進程生成，原理上說是結束掉了木馬程序，後面的工作就是要清楚這些目錄產生的文件，經過我尋找，首先清除/etc/init.d目錄下面產生的木馬啟動腳本，然後清楚/etc/rc#.d/目錄下面的連接文件。

後來我查看/etc目錄下面文件的修改時間，發現ssh目錄下面也有一個新生成的文件，不知道是不是有問題的。清理差不多之後我們就要清理剛才生成的幾個文件了，一個一個目錄清楚，比如"chattr -i /tmp"，然後刪除木馬文件，以此類推刪除/bin、/usr/bin目錄下面的木馬，到此木馬清理完畢。

Ⅳ /usr/sbin/kworker 是什麼文件

/usr/sbin/kworker 懷疑挖礦病毒。

使用clamscn進行病毒掃描

中了木馬和後門全部中招了

然後用clamsan -r --beli -i /usr/bin/kworker --remove將病毒清理掉，一起學習linux

還有一個關聯的netfs也要清理掉clamsan -r --beli -i /usr/bin/netfs --remove 將病毒清理掉

下一步：修改root密碼重新啟動 發現看worker就沒有了。

Ⅵ tasklsv.exe挖礦病毒如何徹底清除

請勿訪問陌生網站，在陌生網站瀏覽、下載很可能導致中毒。

1. 若電腦中存在木馬或者病毒程序，安裝一款安全軟體（例如：電腦管家等）。使用安全軟體進行掃描全盤即可發現病毒並刪除。若無法處理或者出現錯誤請嘗試備份重要資料後重新安裝系統。

2. 若手機中存在木馬或者病毒程序，安裝一款安全軟體（例如：手機管家等）。以手機管家為例，打開手機管家，點擊主界面上的一鍵體檢即可自動檢測手機中存在的病毒，點擊一鍵清除即可刪除。

Ⅶ 可可軟體總是在後台運行挖礦病毒軟體怎麼清理

可可自動發軟體是個騙子，軟體都是病毒

Ⅷ 伺服器上如何清除NrsMiner挖礦病毒

挖礦病毒完整清除過程如下，請在斷網情況下進行：

1.停止並禁用Hyper-VAccess Protection Agent Service服務；

2.刪除C:Windowssystem32NrsDataCache.tlb；

3.刪除C:.dll，若刪除失敗，可重命名該文件為其他名稱；

4.重啟計算機；

5.刪除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目錄；

6.刪除C:Windowssystem32SecUpdateHost.exe。

7.到微軟官方網站下載對應操作系統補丁，下載鏈接如下：https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

8.安裝國內主流殺毒軟體，及時更新至最新病毒特徵庫。

Ⅸ Linux系統被Carbon挖礦病毒入侵，殺掉之後過一段時間又起來了，有誰遇到過這種情況啊

這種病毒騰訊安全提到過
可以去下載安裝一個騰訊御點
打開之後，使用裡面的病毒查殺功能，直接就可以查殺這種電腦病毒了

Ⅹ xmr挖礦病毒怎麼刪除

只要是病毒肯定就可以刪除
這種病毒屬於頑固病毒的一種得需要到安全模式下殺毒
殺毒軟體選擇也很重要，得選擇有針對這種病毒的專殺工具才行，可以使用電腦管家殺毒。