挖礦病毒chrome

❶ 一次挖礦病毒攻擊分析

這兩天期末了，最近老闆這里突然來了個任務，客戶伺服器被攻擊了，某台機器的cpu一直都跑滿了，持續高負荷狀態，客戶公司的運營實在沒有辦法找到了我們。
先說一說之前這台伺服器也出現過問題，被兩波人搞過，一波寫了webshell，另個一種了挖礦病毒，都被清除了，當然這些我都沒有參與。
因為老闆比較忙，我和另一個小夥伴接手進行分析，我們拿到這台伺服器，既然是web伺服器，最好得最有效的辦法就是看web日誌，但是這個日誌是在很多，這就考慮經驗問題了，另一個小夥伴道行比我深，他發現了痕跡：

通過很多嘗試，在篩選「wget」的時候找到了攻擊痕跡。

emmmmm，看到這個POST的請求，基本可以猜測出就是這幾天爆出的thinkphp新的rce，具體讀者可以去看看相關的報告，rce的分析網上也有了，有想去的可以去了解一下。根據這條日誌，篩選ip我們找到了具體的攻擊痕跡：

上傳ibus腳本文件到tmp目錄下命名為指定文件，這里www用戶有對tmp目錄的讀寫許可權。

執行tmp中上傳的指定文件，並等待執行完成，刪除文件.
本地虛擬環境執行了一下這個ibus腳本：

可以看到這里執行生成了三個sh簡單加密的腳本文件：nmi，nbus和.dbus是哪個文件，這三個腳本文件解密之後是三個cat和perl的腳本，分別執行了一下命令：

執行了三個perl腳本，就是挖礦的腳本了。最後我們把生成的惡意文件備份之後就進行清除了，總共是三個sh腳本，三個perl挖礦腳本和兩個記錄id的隨機數之類的文件。
怎麼說呢，這次攻擊分析看似挺簡單的，但是最難的部分，從日誌里找出攻擊者的惡意訪問是很困難的，需要有很多的經驗，比如對最近新漏洞的了解，以及各類典型漏洞的攻擊方式，才能及時的從龐大的日誌文件中根據特徵找到攻擊者的痕跡。
安全從業者還是十分吃經驗的，博主也會更多的在實戰中歷練自己，也會分享記錄自己的經驗。

❷ chrome挖礦病毒怎麼解決

只要是病毒肯定就可以刪除
這種病毒屬於頑固春孫病毒的一種得需要到安扒彎鏈全模式下殺毒
殺毒軟體選擇也很重要，得選擇有針對這種病毒的專殺工具才行，可鬧指以使用電腦管家殺毒。

❸ 打開任務管理器有個進程是google chrome，佔了一半多CPU，玩游戲非常卡

可能中毒了，比如挖礦病毒。右擊進程，打開文件位置，看路徑是什麼。還有查看選擇列勾選命令行，看進程啟動參數是什麼。其他的用殺軟殺毒。

❹ 解決挖礦病毒的經歷

線上一台伺服器，CPU高達90%以上，經過top 分析出進程kdevtmpfsi
kill -9 殺死進程無果，很快就會自動恢復
排查步驟：

結果：

病毒被植入到了線上運行的某一docker容器內。

如何先確定是哪一容器再去刪除搜索結果中的病毒文件？

我這台機器跑的容器不多，可以用復制文件的方法，先 docker cp 一個文件到容器中。再去find 這個文件
如果結果還是在剛才搜索病毒的那個文件目錄下（/var/lib/docker/devicemapper/mnt/xxxxx ）就可以確定容器了。結果是php的容器出現了問題。

知道是具體是什麼容器出現了問題，最快的辦法就是先重啟一個新的容器。
我這邊是nginx +php 兩種服務容器，所以先啟動了一個新php容器，修改nginx中配置文件代理後端php伺服器埠為新容器的IP地址。（nginx容器已經映射目錄到宿主機）

修改PHP後端IP地址
cd 宿主機映射nginx的配置文件位置目錄

測試線上環境正常後，刪除原來的php容器。（這是自然也==直接刪除了病毒文件）
執行 TOP命令，CPU佔用正常。
平時防火牆和sellinux都關閉的話，伺服器不要暴漏太多無用埠，出現問題應該最新通過進程名去查找文件的原始位置去分析問題，遇到挖礦病毒也應該多注意/etc/init.d下和cron計劃任務有無異常。
後期也可以寫個cron或者腳本

❺ 挖礦病毒

自從比特幣火起來以後，運維和安全同學就經常受到挖礦病毒的騷擾，如果有人說機器cpu被莫名其妙的程序佔用百分之八十以上，大概率是中了挖礦病毒。

說說挖礦病毒的幾個特點：

一、cpu佔用高，就是文中一開始所說的，因為挖礦病毒的目的就是為了讓機器不停的計算來獲利，所以cpu利用率都會很高。

二、進程名非常奇怪，或者隱藏進程名。發現機器異常以後，使用top命令查看，情況好的能看到進程名，名字命名奇怪，我見過的linux上中毒的是以. exe命名的程序。對於隱藏進程名這種情況，找起來就更加費事了，需要查看具備linux相關的系統知識。

三、殺死後復活，找到進程之後，用kill命令發現很快就會復活，挖礦病毒一般都有守護進程，要殺死守護進程才行。

四、內網環境下，一台機器被感染，傳播迅速，很快會感染到其他機器。

挖礦病毒的防禦

挖礦病毒最好的防禦重在平時安全規范，內網機器不要私自將服務開放到公司，需要走公司的統一介面，統一介面在請求進入到內網之前，會有安全措施，是公司入口的第一道安全門。還有就是公司內網做好隔離，主要是防止一個環境感染病毒，擴散到全網。

對於已經感染的情況，可以通過dns劫持病毒訪問的域名，公網出口過濾訪問的地址，這些手段是防止病毒擴大的手段，對於已經感染的機器，只能通過開始講的幾種方法找到並殺死病毒了。

❻ 芯動礦機病毒解決辦法

詳細解決辦法如下：
瑞星安全專家建議，對於一般用戶，針對挖礦病毒攻擊，採取如下防禦措施，及時更新系統補丁，防止攻擊者通過漏洞入侵系統。使用復雜密碼，安裝殺毒軟體，保持監控開啟，及時更新病毒庫，及時備份資料庫。不打開可疑的郵件附件，不點擊郵件中的可疑鏈接。
對於規模較大、設備類型眾多、維護工作繁重的企業，推薦使用終端殺毒軟體，進行統一查殺，統一打補丁。企業還可以在網路入口處部署防毒牆，在網關處對病毒進行初次攔截，將絕大多數病毒徹底剿滅在企業網路之外。同時，對於企業中存在的虛擬化設備可以部署虛擬化專用版安全軟體，有效保障企業內部虛擬系統不受病毒侵擾。

❼ 伺服器上如何清除NrsMiner挖礦病毒

挖礦病毒完整清除過程如下，請在斷網情況下進行：

1.停止並禁用Hyper-VAccess Protection Agent Service服務；

2.刪除C:Windowssystem32NrsDataCache.tlb；

3.刪除C:.dll，若刪除失敗，可重命名該文件為其他名稱；

4.重啟計算機；

5.刪除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目錄；

6.刪除C:Windowssystem32SecUpdateHost.exe。

7.到微軟官方網站下載對應操作系統補丁，下載鏈接如下：https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

8.安裝國內主流殺毒軟體，及時更新至最新病毒特徵庫。

❽ 我的電腦需要怎麼操作才能恢復正常操作

Win+R調出運行框，輸入control打開控制面板，查看方式為「類別」，用戶賬戶和家庭安全，用戶賬戶，更改用戶賬戶控制設置，把通知級別調低一格。

❾ 挖礦病毒怎麼處理

挖礦病毒處理步驟如下：

1、查看伺服器進程運行狀態查看伺服器系統整體運行情況，發現名為kdevtmpfsi的挖礦進程大量佔用系統CPU使用率。

2、查看埠及外聯情況查看埠開放狀態及外聯情況，發現主機存在陌生外聯行為。對該外部地址進行查詢發現屬於國外地址，進一步確定該進程為惡意挖礦進程：定位挖礦進程及其守護進程PID挖礦病毒kdevtmpfsi在運行過程中不僅會產生進程kdevtmpfsi。

6、查看redis日誌通過查看redis配置文件/etc/redis.conf發現日誌功能未開啟。

7、查找敏感文件發現authorized_keys文件。

8、查看ssh日誌文件查看ssh日誌文件，發現大量登陸痕跡以及公鑰上傳痕跡。

❿ 中挖礦病毒的表現

故障現象：使用過程中，發現經常有服務無故關閉，登錄伺服器經檢查，發現CPU使用率達到100%。在檢測異常進程中，未發現CPU使用率異常的進程（使用 top、htop 以及 ps -aux 進行檢查），於是報障。

檢測過程：

1.找到他shell腳本對應目錄把目錄或者文件刪除。

2.檢查定時任務是否存在挖礦木馬文件在定時任務中，避免定時運行挖礦木馬文件。

3.添加hosts挖礦病毒訪問對應網站，避免二次訪問並下載。

4.排查liunx命令是否損壞，如損壞下載"procps-3.2.8"並編譯，恢復top等系列命令。

5.檢測進程是否異常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的網站程序是否存在漏洞，並排查下nginx或者apache日誌審查漏洞所在處。

7.排查ssh登錄日誌。

8.把ssh登錄切換成秘鑰登錄。

9.重啟伺服器，檢查是否進程是否正常。