挖礦軟體病毒判斷

① 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。

② 這7個跡象出現，說明手機上可能有惡意軟體

轉自HackRead，作者 Uzair Amir，藍色摩卡譯，合作站點轉載請註明原文譯者和出處為超級盾！

惡意軟體和間諜軟體是兩個最常與台式電腦有關的安全問題。雖然電腦確實容易感染惡意軟體，但不要忽視移動設備也會受到感染的事實。 當智能手機感染了惡意軟體，它會導致幾個問題，包括黑客會竊取用戶的信息。

智能手機用戶必須意識到許多安全威脅，包括最近黑客實施的生物信息劫持（指紋等個人信息）。當手機感染病毒時，如果沒有檢測到， 會導致幾個問題，包括勒索軟體、密碼盜竊和機密數據竊取。

此外，還有可能導致智能手機物理功能問題的惡意軟體。 這里有7個跡象表明你的智能手機被惡意軟體感染了:

要想知道我的手機是否感染了病毒， 首先要注意的是數據使用量的突然增加 。盡管智能手機上的一些應用程序和 游戲 可能會有大量數據。

但當沒有明顯原因的數據使用量突然增加時，這可能是手機感染了病毒的跡象 ，尤其是像ADB這樣的惡意軟體。Miner（挖礦病毒）以在Android手機和智能電視上挖掘Monero硬幣而聞名。

iOS和Android都在設置應用程序中提供了一個部分，允許智能手機用戶了解他們的設備上使用了多少數據。 Android設備也將能夠提供一個圖表，顯示特定時間段內的數據使用情況——這使得檢測突然增長變得很容易。

Android:

iPhone:

要打開或關閉蜂窩數據，請進入「設置」，然後點擊「蜂窩數據」或「移動數據」。 如果你使用iPad，你可能會看到設置>蜂窩數據。 如果你使用的是雙卡iPhone ，你需要將你的一個套餐設置為主數據號 ，以便查看你使用了多少手機數據。

另一個可能預示智能手機感染的常見信號是電池突然開始以比平時更快的速度耗盡。 雖然這有時可能是電池損壞的跡象，但也有多種病毒可能導致智能手機電池迅速耗盡 。

因此，如果在學習如何檢查手機是否有病毒時出現了這個問題， 那麼在花錢更換電池之前，應該先掃描手機是否有病毒感染。 在2019年2月，研究人員揭露了一場主要的安卓廣告詐騙活動，名為「排放機器人」(DrainerBot)，它會消耗電池和竊取設備的數據。

市場上一些最新的智能手機往往配備了強大的處理器和足夠的內存，以便輕松處理應用程序和 游戲 中使用的最新技術。 當這種智能手機突然開始缺乏性能時（比方變卡），這也可能是該設備感染了病毒的跡象。

有時只有在進入需要強大的CPU和GPU的 游戲 時，才會注意到糟糕的性能。在其他情況下， 病毒也可能導致移動設備的總體性能下降——即使是在執行簡單的任務時，比如打電話或讀簡訊變卡或無法正常運行 。

除了發現這款智能手機在性能方面存在不足外，還有一個跡象表明它感染 HiddenMiner之類的惡意軟體，那就是過熱了 。這在大多數智能手機中並不常見;因此，當出現過熱問題時，病毒掃描可以幫助檢查手機上的惡意軟體。

感染智能手機的病毒有時會導致不熟悉的應用程序自動安裝。 因此，當應用程序在用戶不知情的情況下出現在手機上時，這可能是設備感染病毒的又一個跡象。

每個不熟悉的應用程序都應該有一個概述，這通常是來自寫作服務。所以安裝某些程序之前，最好看看過去使用過該應用程序的評論者很重要。 當應用程序看起來可疑時，不僅要刪除它，還應該徹底掃描設備，以尋找可能的病毒殘留痕跡。

如果你想知道我的手機是否感染了惡意軟體，你應該警惕自己的移動數據和Wi-Fi開關。 由於病毒通常會通過互聯網發送和接收數據，在用戶禁用移動數據或Wi-Fi連接後，感染可能會導致數據被打開。

另一個惱人的、但卻是移動設備上病毒的明顯標志就是彈出式廣告。 這些廣告通常會在用戶離開應用程序並停留在手機主頁上之後才出現。 彈出式廣告有時會顯示不合適的廣告，或將用戶帶到智能手機應用商店的移動應用程序。

惡意軟體可以影響台式電腦和移動設備。 當智能手機受到影響時，它會導致個人數據泄露給黑客。

在這些情況下，會出現幾個問題，包括可能存儲在智能手機上的信用卡信息 。那些懷疑自己可能被感染的人應該學習如何發現自己的手機是否有病毒。 這可以幫助他們採取行動，以消除病毒和保護他們的敏感數據。

精彩在後面

Hi，我是超級盾

更多干貨，可移步到，微信公眾號：超級盾訂閱號！精彩與您不見不散！

超級盾能做到：防得住、用得起、接得快、玩得好、看得見、雙向數據加密！

截至到目前，超級盾 成功抵禦史上最大2.47T黑客DDoS攻擊，超級盾具有無限防禦DDoS、100%防CC的優勢

③ 挖礦病毒

自從比特幣火起來以後，運維和安全同學就經常受到挖礦病毒的騷擾，如果有人說機器cpu被莫名其妙的程序佔用百分之八十以上，大概率是中了挖礦病毒。

說說挖礦病毒的幾個特點：

一、cpu佔用高，就是文中一開始所說的，因為挖礦病毒的目的就是為了讓機器不停的計算來獲利，所以cpu利用率都會很高。

二、進程名非常奇怪，或者隱藏進程名。發現機器異常以後，使用top命令查看，情況好的能看到進程名，名字命名奇怪，我見過的linux上中毒的是以. exe命名的程序。對於隱藏進程名這種情況，找起來就更加費事了，需要查看具備linux相關的系統知識。

三、殺死後復活，找到進程之後，用kill命令發現很快就會復活，挖礦病毒一般都有守護進程，要殺死守護進程才行。

四、內網環境下，一台機器被感染，傳播迅速，很快會感染到其他機器。

挖礦病毒的防禦

挖礦病毒最好的防禦重在平時安全規范，內網機器不要私自將服務開放到公司，需要走公司的統一介面，統一介面在請求進入到內網之前，會有安全措施，是公司入口的第一道安全門。還有就是公司內網做好隔離，主要是防止一個環境感染病毒，擴散到全網。

對於已經感染的情況，可以通過dns劫持病毒訪問的域名，公網出口過濾訪問的地址，這些手段是防止病毒擴大的手段，對於已經感染的機器，只能通過開始講的幾種方法找到並殺死病毒了。

④ 挖礦病毒怎麼排查

登錄系統查看任務管理器，查看佔用內存較大且無法關閉的進程。進程上點擊滑鼠右鍵，打開文件位置（先要在文件夾選項中選擇顯示隱藏文件及操作系文件）。此時你可能會看到有一個Systmss.exe進程和模仿操作系統的svchost.exe進程這里還可以看到一個2.bat文件，右鍵編輯打開這個文件查看，可查看到惡意進程與哪個挖礦組織通信。

通過查看系統操作日誌可分析出病毒的來源、啟動時間等信息，一般原因可能是未關閉3389埠且使用了弱密碼導致黑客遠程登錄上次病毒。

根除病毒：將病毒可執行文件Systmss.exe重命名為Systmss.exe1使病毒無法執行，此時可從任務管理器停止進程。打開注冊表編輯器刪除HKEY_LOCAL_整個目錄。

如果是Linux系統請參考：網頁鏈接

⑤ 如何查看電腦是否被植入了挖礦程序

如何判斷自己的電腦是否被挖礦，怎樣預防？
電腦開機後，所有程序都不打開的情況下。按Ctrl+ALT+Del調出任務管理器，在「進程」卡項中，查看CPU的使用情況。如果看到某個進程佔用了大量的cpu使用情況，並且幾分鍾後都沒有降低的趨勢，這個程序就可能是病毒了。
想要預防自己的電腦被挖礦也很簡單，只要安裝正規的安全軟體，使用安全的瀏覽器，添加安全合適的插件，就可以防止電腦被挖礦了。
當然，如果不瀏覽不正規不健康的網站，不下載盜版游戲，盜版軟體等就更能從根源杜絕電腦被不法分子挖礦的風險。

⑥ 怎麼判斷手機是否被挖礦

其實不難，我們日常使用手機的時候都會有一些後台應用，這些應用往往在重啟後就會被「殺死」。但是如果手機被黑客入侵後，在重啟後，手機會再度進入高負荷狀態，往往系統運行內存會被迅速使用殆盡，所以如果手機出現無端卡頓、發熱、死機，那就有可能是被挖。

可能用手機「挖礦」還沒挖到加密貨幣，黑客就把信息都給竊取了。人們不僅會遇到手機卡頓、發熱甚至死機等問題，還有可能遭遇其他的資金損失。

而且，值得警惕的是，有些手機挖礦APP打著「挖礦」的名義，卻讓用戶投入資金並不斷發展下線。

⑦ 挖礦病毒是一段代碼或者一個軟體

「挖礦」病毒是一段代碼或者一個軟體，偽裝成一個正常文件進入受害者的電腦。
病毒利用主機或者操作系統的高危漏洞，並結合高級攻擊技術在區域網內傳播，控制電腦進行大量的計算機運算來獲取虛擬貨幣。「挖礦」病毒會消耗大量的計算機處理資源。

⑧ 中挖礦病毒的表現

故障現象：使用過程中，發現經常有服務無故關閉，登錄伺服器經檢查，發現CPU使用率達到100%。在檢測異常進程中，未發現CPU使用率異常的進程（使用 top、htop 以及 ps -aux 進行檢查），於是報障。

檢測過程：

1.找到他shell腳本對應目錄把目錄或者文件刪除。

2.檢查定時任務是否存在挖礦木馬文件在定時任務中，避免定時運行挖礦木馬文件。

3.添加hosts挖礦病毒訪問對應網站，避免二次訪問並下載。

4.排查liunx命令是否損壞，如損壞下載"procps-3.2.8"並編譯，恢復top等系列命令。

5.檢測進程是否異常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的網站程序是否存在漏洞，並排查下nginx或者apache日誌審查漏洞所在處。

7.排查ssh登錄日誌。

8.把ssh登錄切換成秘鑰登錄。

9.重啟伺服器，檢查是否進程是否正常。

⑨ 我電腦好像中挖礦木馬病毒了！怎麼能監測出來

可以打開騰訊智慧安全的頁面
然後在產品裡面找到御點終端全系統
接著在裡面選擇申請使用騰訊御點，再去用病毒查殺功能殺毒

⑩ 怎麼查看電腦有沒有挖礦病毒

中挖礦病毒有以下幾種顯著的表現：
1.電腦異常運行緩慢
2.電腦異常死機/卡機
3.什麼都沒打開但是cpu佔用率非常高
4.網路緩慢，出現大量網路請求