挖礦病毒應急處理
Ⅰ 芯動礦機病毒解決辦法
詳細解決辦法如下:
瑞星安全專家建議,對於一般用戶,針對挖礦病毒攻擊,採取如下防禦措施,及時更新系統補丁,防止攻擊者通過漏洞入侵系統。使用復雜密碼,安裝殺毒軟體,保持監控開啟,及時更新病毒庫,及時備份資料庫。不打開可疑的郵件附件,不點擊郵件中的可疑鏈接。
對於規模較大、設備類型眾多、維護工作繁重的企業,推薦使用終端殺毒軟體,進行統一查殺,統一打補丁。企業還可以在網路入口處部署防毒牆,在網關處對病毒進行初次攔截,將絕大多數病毒徹底剿滅在企業網路之外。同時,對於企業中存在的虛擬化設備可以部署虛擬化專用版安全軟體,有效保障企業內部虛擬系統不受病毒侵擾。
Ⅱ 挖礦病毒怎麼處理
挖礦病毒處理步驟如下:
1、查看伺服器進程運行狀態查看伺服器系統整體運行情況,發現名為kdevtmpfsi的挖礦進程大量佔用系統CPU使用率。
2、查看埠及外聯情況查看埠開放狀態及外聯情況,發現主機存在陌生外聯行為。對該外部地址進行查詢發現屬於國外地址,進一步確定該進程為惡意挖礦進程:定位挖礦進程及其守護進程PID挖礦病毒kdevtmpfsi在運行過程中不僅會產生進程kdevtmpfsi。
6、查看redis日誌通過查看redis配置文件/etc/redis.conf發現日誌功能未開啟。
7、查找敏感文件發現authorized_keys文件。
8、查看ssh日誌文件查看ssh日誌文件,發現大量登陸痕跡以及公鑰上傳痕跡。
Ⅲ 挖礦病毒
自從比特幣火起來以後,運維和安全同學就經常受到挖礦病毒的騷擾,如果有人說機器cpu被莫名其妙的程序佔用百分之八十以上,大概率是中了挖礦病毒。
說說挖礦病毒的幾個特點:
一、cpu佔用高,就是文中一開始所說的,因為挖礦病毒的目的就是為了讓機器不停的計算來獲利,所以cpu利用率都會很高。
二、進程名非常奇怪,或者隱藏進程名。發現機器異常以後,使用top命令查看,情況好的能看到進程名,名字命名奇怪,我見過的linux上中毒的是以. exe命名的程序。對於隱藏進程名這種情況,找起來就更加費事了,需要查看具備linux相關的系統知識。
三、殺死後復活,找到進程之後,用kill命令發現很快就會復活,挖礦病毒一般都有守護進程,要殺死守護進程才行。
四、內網環境下,一台機器被感染,傳播迅速,很快會感染到其他機器。
挖礦病毒的防禦
挖礦病毒最好的防禦重在平時安全規范,內網機器不要私自將服務開放到公司,需要走公司的統一介面,統一介面在請求進入到內網之前,會有安全措施,是公司入口的第一道安全門。還有就是公司內網做好隔離,主要是防止一個環境感染病毒,擴散到全網。
對於已經感染的情況,可以通過dns劫持病毒訪問的域名,公網出口過濾訪問的地址,這些手段是防止病毒擴大的手段,對於已經感染的機器,只能通過開始講的幾種方法找到並殺死病毒了。
Ⅳ 伺服器上如何清除NrsMiner挖礦病毒
挖礦病毒完整清除過程如下,請在斷網情況下進行:
1.停止並禁用Hyper-VAccess Protection Agent Service服務;
2.刪除C:Windowssystem32NrsDataCache.tlb;
3.刪除C:.dll,若刪除失敗,可重命名該文件為其他名稱;
4.重啟計算機;
5.刪除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目錄;
6.刪除C:Windowssystem32SecUpdateHost.exe。
7.到微軟官方網站下載對應操作系統補丁,下載鏈接如下:https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
8.安裝國內主流殺毒軟體,及時更新至最新病毒特徵庫。
Ⅳ 解決挖礦病毒的經歷
線上一台伺服器,CPU高達90%以上,經過top 分析出進程kdevtmpfsi
kill -9 殺死進程無果,很快就會自動恢復
排查步驟:
結果:
病毒被植入到了線上運行的某一docker容器內。
如何先確定是哪一容器再去刪除搜索結果中的病毒文件?
我這台機器跑的容器不多,可以用復制文件的方法,先 docker cp 一個文件到容器中。再去find 這個文件
如果結果還是在剛才搜索病毒的那個文件目錄下(/var/lib/docker/devicemapper/mnt/xxxxx )就可以確定容器了。結果是php的容器出現了問題。
知道是具體是什麼容器出現了問題,最快的辦法就是先重啟一個新的容器。
我這邊是nginx +php 兩種服務容器,所以先啟動了一個新php容器,修改nginx中配置文件代理後端php伺服器埠為新容器的IP地址。(nginx容器已經映射目錄到宿主機)
修改PHP後端IP地址
cd 宿主機映射nginx的配置文件位置目錄
測試線上環境正常後,刪除原來的php容器。(這是自然也==直接刪除了病毒文件)
執行 TOP命令,CPU佔用正常。
平時防火牆和sellinux都關閉的話,伺服器不要暴漏太多無用埠,出現問題應該最新通過進程名去查找文件的原始位置去分析問題,遇到挖礦病毒也應該多注意/etc/init.d下和cron計劃任務有無異常。
後期也可以寫個cron或者腳本
Ⅵ miner挖礦木馬該怎麼清除
miner挖礦木馬這種病毒現在經常遇到,在一般情況下使用電腦管家的殺毒功能時無法查殺。
這時需要重啟電腦按F8進入電腦的安全模式,在安全模式下,使用電腦管家的病毒查殺,給電腦殺毒,在一般情況下的殺毒軟體可以查殺到此病毒。
miner挖礦木馬是消耗用戶的電腦資源,進行挖礦,導致用戶電腦資源和性能變低,一般看不出來,但是顯卡或CPU佔用很高,是電腦後台自行消耗顯卡與CPU資源的木馬病毒。現在十分常見。
Ⅶ 電腦中挖礦病毒了怎麼辦
電腦中病毒,那麼最好的解決辦法就是格式化系統盤或是全盤,或是重新分區後重裝系統,通過系統光碟或是製作的u盤啟動盤來安裝,通過快捷鍵或是進入bios中設置開機啟動項從cd或是usb啟動然後安裝系統,這樣電腦就可以恢復正常使用運行的
Ⅷ 電腦中了挖礦病毒
方法/步驟
首先,如果是菜鳥寫出的病毒,大家可以太任務管理器中,找到該文件路徑,直接終結進程樹,或直接找到路徑刪除即可。
2/6
第二,如果對方技術夠本,我們很難終結進程,那麼,我們可以下載一個電腦管家,現在的電腦管家也增大了挖礦病毒的掃描率,如果查找到直接清理即可。
3/6
第三,如果電腦管家也無法搞定那麼,我們可以avast查殺,這個程序在殺毒方面,簡直是第一,對於挖礦病毒來說,更是猶如利劍。
4/6
第四,如果使用avast之後,我們還懷疑電腦有挖礦病毒的話,我們先打開進程手動把文檔路徑放到隔離區。
5/6
第五,在放到隔離區之後,我們使用avast的放鬆以供分析,然後發給avast的工作員工,備注懷疑是挖礦病毒,對方給我們人工分析,如果是,對方也會幫我們刪除。
6/6
第六,如果在專業堅定之後,我們還有所懷疑的話,如果不是大牛,那麼,大舅就需要重裝電腦了,畢竟,一裝百物清。
網路經驗:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望採納謝謝(≧∇≦)
Ⅸ 手機中了挖礦病毒不恢復出廠設置怎麼殺毒
智能手機跟電腦一樣是有可能會中病毒的,尤其是在安裝了帶有病毒的應用後,手機中病毒的幾率也會大很多。一旦手機中病毒了就會給它的安全性帶來影響,比如手機裡面的簡訊、電腦會被竊取,手機中的各類賬號也會被盜等等,給自己造成經濟損失。當手機中毒後就需要為它殺毒,避免手機因病毒而造成損失。那麼,手機怎樣殺毒?本文為大家介紹具體的殺毒方法。
手機怎樣殺毒
最簡單的手機殺毒方法是安裝擁有手機殺毒的軟體,例如360手機衛士。下面以360手機衛士為例子,介紹如何給手機殺毒。
步驟一:打開360手機衛士,點擊手機殺毒。
步驟二:點擊快速掃描,等待掃描結果。
掃描完成後,會提示是否發現病毒,如果發現病毒,可做清理處理。
步驟三:如果快速掃描發現病毒,清理後還是覺得不放心,可以點擊全盤掃描,全面掃描手機,徹底殺毒。
利用騰訊手機管家殺毒
1、手機可以安裝殺毒軟體,直接進行查殺,如騰訊手機管家,還能優化手機系統,提升手機的運行速度。
用騰訊手機管家殺毒的步驟是:到官網下載安裝最新版本的騰訊手機管家,安裝後更新病毒庫-再在手機桌面點擊騰訊手機管家-選擇病毒查殺-選擇快速掃描(或者全盤掃描)即可對手機進行徹底殺毒。
2、在電腦上進行手機殺毒,首先,要通過數據線將你的手機與電腦相連,電腦上便會出現可移動硬碟。比如你只需要打開騰訊電腦管家,找到【殺毒】功能,可以很醒目的看到殺毒選項。你可以根據需要選擇【閃電查殺、全盤查殺、和自定義位置查殺】三種模式進行查殺。
手機上具備殺毒功能的管家軟體眾多,除了騰訊手機管家外,還有樂安全手機管家、金山手機管家、lbe安全大師等,功能也是大同小異,但是目的是一樣的,都是在竭力的為手機的安全盡職盡責。
手機殺毒方法都是差不多,只要安裝了殺毒軟體後就能夠有效的幫助手機進行殺毒,避免手機因為中病毒而造成損失。在平常生活中應該要給手機安裝一個殺毒軟體,無論是360安全衛士還是騰訊手機管家、網路、搜狗等等,大多可以對手機起到好的防護作用,幫助手機防護,避免手機被病毒容易侵襲,造成一定量的經濟損失。
Ⅹ 中了挖礦木馬,我是如何清理的
目前挖礦木馬還沒辦法查殺,即使是2020年6月的現在,市面上所有的安全衛士都沒辦法識別出來。這個木馬非常狡猾,通過區域網共享傳播,感染之後會在本地生成一個合法程序(powershell命令形式的),然後木馬程序會自動刪除,這也是安全衛士沒辦法查殺的原因吧。我曾經翻過整個C盤,都沒辦法找出源文件,只能重裝系統了。