伺服器被下挖礦木馬

A. 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。

B. 伺服器集群感染了挖礦木馬該怎麼辦

企業電腦可以去騰訊安全申請個騰訊御點
然後使用這個軟體選擇左側的病毒查殺
用來對伺服器裡面的木馬病毒進行查殺了檢測就行

C. 伺服器被中了木馬,如何清除

這是一種典型的掛馬，黑客將你的伺服器攻陷後(有時甚至不用攻陷），通過修改你網站代碼，來達到抓肉雞，賺取點擊量或者其他什麼目的。
首先，第一次出現的代碼是比較原始的窗口彈出（就是將"http://iisa1.eyesir.net:7777/gethostjs.php"中的廣告以窗口方式彈出）而第二次的代碼是經過修改的（實際上也是達到同樣的目的，但通過修改代碼，用等價代碼替換，可以繞過殺軟的查殺,但慶幸的是最後還是被查殺了）
要做到這個其實不難，這個黑客最有可能是通過注入，得到網站後台密碼，再上傳木馬，得到webshell，在通過webshell來上傳修改過的網站源碼。另外，跨站方式也是有可能的，如果你的伺服器有多個網站，黑客就可以通過別的網站來控制伺服器，進而修改你的網站。還有其他方式比如弱口令等，但概率不大。
我推薦你一個黑客工具：啊D，你到網上搜一下，下載下來，可以用它來檢測你的網站是否有注入漏洞。
最後提醒你一句：自從出現了黑客，網站都沒有絕對安全。既然黑客已經入侵了你的伺服器，說明你的網站絕對有漏洞，要盡快修補。還有，按照慣例，黑客入侵後一般會在伺服器中留後門或是木馬（而且很有可能經過免殺，殺軟查不出來），你即使將剛才幾個東西刪除了，黑客還有可能卷土重來。最後，即將廣告代碼刪了，保不齊黑客還會在伺服器中留其他掛馬語句（而且被修改的更變態，殺軟無法查出,或是這句掛馬語句不是用來彈窗的，而是用來植入木馬的，這種掛馬如果做得好根本沒有任何外在表現）
祝你好運。
（純手工答復）

D. 伺服器上如何清除NrsMiner挖礦病毒

挖礦病毒完整清除過程如下，請在斷網情況下進行：

1.停止並禁用Hyper-VAccess Protection Agent Service服務；

2.刪除C:Windowssystem32NrsDataCache.tlb；

3.刪除C:.dll，若刪除失敗，可重命名該文件為其他名稱；

4.重啟計算機；

5.刪除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目錄；

6.刪除C:Windowssystem32SecUpdateHost.exe。

7.到微軟官方網站下載對應操作系統補丁，下載鏈接如下：https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

8.安裝國內主流殺毒軟體，及時更新至最新病毒特徵庫。

E. win2008伺服器中了挖礦病毒，求解答！

不能完全殺干凈的前提下，備份好自己的數據，然後重裝系統，不然這樣耽誤工作真的很麻煩

F. 警惕：389萬台電腦被植入挖礦木馬，你中招了嗎

針對這樣的木馬侵入建議安裝安全軟體來進行防護
下載騰訊電腦管家，開啟實時防護功能

一旦瀏覽病毒網頁或者下載病毒軟體都會提出安全警示
如果有病毒侵入電腦還能立即進行提示並進行病毒查殺

G. 阿里雲windows伺服器中了挖礦的病毒怎麼清理

光刪除沒用的，因為沒有解決好漏洞。
建議是重做系統，然後找護衛神給你做一下系統安全加固，把漏洞徹底堵住才有效果。

H. 阿里雲windows伺服器如何去除挖礦病毒

找到進程，然後找到他文件路徑，幹掉進程，刪掉文件。
另外找找其他可疑進程，避免病毒有守護進程或者其他隱藏進程

I. 伺服器被下挖礦了怎麼辦

哥們被下了啥挖礦？去舉報啊。之前流量礦石非常火的時候，我的伺服器也被無良黑了，成了肉雞，然後我去找到他的信息，截圖跟流量礦石舉報，就幫我處理了。你看你的被下了啥，就去找他們處理。

J. 如何評價騰訊雲在防止伺服器可能被植入挖礦木馬，成為

可以安裝一些殺毒軟體在電腦上
如電腦管家一類的，然後一直保持開啟
這樣就可以預防病毒進入到電腦當中了