桌面雲挖礦病毒

Ⅰ 雲伺服器中挖礦病毒的清除過程（二）

發現一台伺服器，CPU使用率一直50%左右，top查看一進程名稱為
-bash，按c查看詳情，名稱顯示為python
十分可疑

殺掉進程，清空crontab內容，並刪除此目錄文件，發現過一陣進程又被啟動起來了
查看/etc/cron.hourly，發現有一個sync文件，還是會定時執行，內容為

此文件還被加了保護許可權，需要用chattr去除後刪除

cron.daily cron.weekly cron.monthly裡面也有
同樣方法刪除/bin/sysdrr
至此病毒被徹底清除

刪除/opt/.new目錄時，發現此目錄下還有一個/opt/.md目錄，內容如下

病毒運行原理是

其他常用的診斷命令

關聯文章：
雲伺服器中挖礦病毒的清除過程
伺服器中毒導致的wget等系統命令失效後的恢復

參考文章：
【PC樣本分析】記錄最近與挖礦病毒的鬥智斗勇
【PC樣本分析】記錄最近與挖礦病毒的鬥智斗勇(二)

Ⅱ PC內驚現挖礦病毒，殺軟對它無能為力 怎麼辦

使用電腦管家工具箱中的頑固木馬剋星來查殺一下，電腦管家的頑固木馬剋星專門為

普通殺軟無法清除或者根本檢測不到的惡意威脅而設計，採用了非常強力的查殺引

擎，所以可以清除各種頑固的木馬病毒

Ⅲ 挖礦病毒怎麼處理

挖礦病毒處理步驟如下：

1、查看伺服器進程運行狀態查看伺服器系統整體運行情況，發現名為kdevtmpfsi的挖礦進程大量佔用系統CPU使用率。

2、查看埠及外聯情況查看埠開放狀態及外聯情況，發現主機存在陌生外聯行為。對該外部地址進行查詢發現屬於國外地址，進一步確定該進程為惡意挖礦進程：定位挖礦進程及其守護進程PID挖礦病毒kdevtmpfsi在運行過程中不僅會產生進程kdevtmpfsi。

6、查看redis日誌通過查看redis配置文件/etc/redis.conf發現日誌功能未開啟。

7、查找敏感文件發現authorized_keys文件。

8、查看ssh日誌文件查看ssh日誌文件，發現大量登陸痕跡以及公鑰上傳痕跡。

Ⅳ 伺服器上如何清除NrsMiner挖礦病毒

挖礦病毒完整清除過程如下，請在斷網情況下進行：

1.停止並禁用Hyper-VAccess Protection Agent Service服務；

2.刪除C:Windowssystem32NrsDataCache.tlb；

3.刪除C:.dll，若刪除失敗，可重命名該文件為其他名稱；

4.重啟計算機；

5.刪除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目錄；

6.刪除C:Windowssystem32SecUpdateHost.exe。

7.到微軟官方網站下載對應操作系統補丁，下載鏈接如下：https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

8.安裝國內主流殺毒軟體，及時更新至最新病毒特徵庫。

Ⅳ 電腦中挖礦病毒了怎麼辦

電腦中病毒，那麼最好的解決辦法就是格式化系統盤或是全盤，或是重新分區後重裝系統，通過系統光碟或是製作的u盤啟動盤來安裝，通過快捷鍵或是進入bios中設置開機啟動項從cd或是usb啟動然後安裝系統，這樣電腦就可以恢復正常使用運行的

Ⅵ 中挖礦病毒的表現

故障現象：使用過程中，發現經常有服務無故關閉，登錄伺服器經檢查，發現CPU使用率達到100%。在檢測異常進程中，未發現CPU使用率異常的進程（使用 top、htop 以及 ps -aux 進行檢查），於是報障。

檢測過程：

1.找到他shell腳本對應目錄把目錄或者文件刪除。

2.檢查定時任務是否存在挖礦木馬文件在定時任務中，避免定時運行挖礦木馬文件。

3.添加hosts挖礦病毒訪問對應網站，避免二次訪問並下載。

4.排查liunx命令是否損壞，如損壞下載"procps-3.2.8"並編譯，恢復top等系列命令。

5.檢測進程是否異常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的網站程序是否存在漏洞，並排查下nginx或者apache日誌審查漏洞所在處。

7.排查ssh登錄日誌。

8.把ssh登錄切換成秘鑰登錄。

9.重啟伺服器，檢查是否進程是否正常。

Ⅶ 我的電腦似乎中了挖礦病毒，求解怎麼辦

1. 建議您安裝瑞星殺毒軟體V16+版本升級到最新病毒庫後，重啟計算機按F8鍵選擇安全模式，進行病毒掃描查殺；

2. 如果病毒很頑固或者破壞了系統文件 推薦重新安裝系統即可。
   
   

Ⅷ 電腦中了挖礦病毒

方法/步驟
首先，如果是菜鳥寫出的病毒，大家可以太任務管理器中，找到該文件路徑，直接終結進程樹，或直接找到路徑刪除即可。

2/6
第二，如果對方技術夠本，我們很難終結進程，那麼，我們可以下載一個電腦管家，現在的電腦管家也增大了挖礦病毒的掃描率，如果查找到直接清理即可。

3/6
第三，如果電腦管家也無法搞定那麼，我們可以avast查殺，這個程序在殺毒方面，簡直是第一，對於挖礦病毒來說，更是猶如利劍。

4/6
第四，如果使用avast之後，我們還懷疑電腦有挖礦病毒的話，我們先打開進程手動把文檔路徑放到隔離區。

5/6
第五，在放到隔離區之後，我們使用avast的放鬆以供分析，然後發給avast的工作員工，備注懷疑是挖礦病毒，對方給我們人工分析，如果是，對方也會幫我們刪除。

6/6
第六，如果在專業堅定之後，我們還有所懷疑的話，如果不是大牛，那麼，大舅就需要重裝電腦了，畢竟，一裝百物清。
網路經驗:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望採納謝謝(≧∇≦)

Ⅸ 雲伺服器中挖礦病毒的清除過程（三）

伺服器CPU使用率50%，被兩個進程佔用，名稱分別為
-mysql
zfsutils-md5sum

使用crontab -l查看定時任務，發現病毒文件-mysql

查看這個/var/.log/目錄，發現更多病毒文件，-mysql是個腳本，內容如下

查看/etc/crontab.daily目錄，發現一個文件名為ntpdate

/bin/sysprg創建日期與ntupdate是同一天，文件大小與x86_64相同，無疑也是個病毒文件。

進入到/var/spool/cron目錄查看文件許可權，發現被加了保護，使用lsattr去除，再編輯刪除內容即可

禁用crontab

雲伺服器中挖礦病毒的清除過程（一）
雲伺服器中挖礦病毒的清除過程（二）

Ⅹ 挖礦病毒

自從比特幣火起來以後，運維和安全同學就經常受到挖礦病毒的騷擾，如果有人說機器cpu被莫名其妙的程序佔用百分之八十以上，大概率是中了挖礦病毒。

說說挖礦病毒的幾個特點：

一、cpu佔用高，就是文中一開始所說的，因為挖礦病毒的目的就是為了讓機器不停的計算來獲利，所以cpu利用率都會很高。

二、進程名非常奇怪，或者隱藏進程名。發現機器異常以後，使用top命令查看，情況好的能看到進程名，名字命名奇怪，我見過的linux上中毒的是以. exe命名的程序。對於隱藏進程名這種情況，找起來就更加費事了，需要查看具備linux相關的系統知識。

三、殺死後復活，找到進程之後，用kill命令發現很快就會復活，挖礦病毒一般都有守護進程，要殺死守護進程才行。

四、內網環境下，一台機器被感染，傳播迅速，很快會感染到其他機器。

挖礦病毒的防禦

挖礦病毒最好的防禦重在平時安全規范，內網機器不要私自將服務開放到公司，需要走公司的統一介面，統一介面在請求進入到內網之前，會有安全措施，是公司入口的第一道安全門。還有就是公司內網做好隔離，主要是防止一個環境感染病毒，擴散到全網。

對於已經感染的情況，可以通過dns劫持病毒訪問的域名，公網出口過濾訪問的地址，這些手段是防止病毒擴大的手段，對於已經感染的機器，只能通過開始講的幾種方法找到並殺死病毒了。