挖礦守護程序

『壹』 伺服器被攻擊並植入kdevtmpfsi挖礦/病毒/木馬

MongoDB庫中的數據莫名其妙沒有了，發覺如下信息：

1、 top -d 5命令 ，查看系統負載情況、是否有未知進程，發現一個名為kdevtmpfsi的進程，經科普它是一個挖礦程序，會佔用伺服器高額的CPU、內存資源。如圖，CPU佔用率高達788.7%，而且是yarn用戶下：

2、 ps -ef |grep kdevtmpfsi 命令查看 該挖礦程序路徑：/tmp/kdevtmpfsi

3、 ps -ef |grep yarn 命令查看更多關於yarn相關進程信息（此時我的伺服器並沒有開啟yarn服務，如果有yarn的相關進程則可判斷是攻擊者開啟的進程），發現另外還有個kinsing進程，經科普kinsing進程是kdevtmpfsi的守護進程：

4、 netstat -lntupaa 命令查看是否有異常的ip,果然發現194.87.102.77這個陌生的ip，判斷是kdevtmpfsi的發出者：

5、經查詢該ip的所在國家是俄羅斯：

6、 find / -iname kdevtmpfsi 命令再次確定命令所在位置以便刪除：

7、 cd /tmp 進入相關目錄：

8、 rm -rf kdevtmpfsi 刪除kdevtmpfsi程序：

9、** kill -9 40422**殺掉kdevtmpfsi進程：

10、發現並沒殺掉所有kdevtmpfsi進程，再次查找yarn的相關進程（因為之前已確認病毒是在yarn下），果真還有kdevtmpfsi進程存在：

11、用命令 批量殺掉 相關進程：

12、刪除kinsing文件：

13、現在，已經把挖礦程序及相關進程刪除掉了，但是還有兩處沒做處理：

14、 crontab -l 命令先看看crontab的定時任務列表吧：

15、編寫刪除挖礦程序腳本 kill_kdevtmpfsi.sh ：

16、新增 定時任務 並刪除攻擊者的挖礦定時任務：

17、 crontab -l命令 查看現在只有殺進程的定時任務了：

18、禁止黑客的IP地址。

最初安裝MongoDB時，並未設置密碼認證，存在漏洞，導致黑客通過漏洞攻擊伺服器，並在程序里植入木馬/病毒。單純的kill -9 id殺掉病毒進程是殺不徹底的，治標不治本，應該定時刪除病毒進程，禁止攻擊者IP，重新安裝系統或相關軟體。

經過幾天的觀察，伺服器運行正常，再沒有被黑客攻擊成功。

『貳』 阿里雲windows伺服器如何去除挖礦病毒

找到進程，然後找到他文件路徑，幹掉進程，刪掉文件。
另外找找其他可疑進程，避免病毒有守護進程或者其他隱藏進程

『叄』 挖礦病毒

自從比特幣火起來以後，運維和安全同學就經常受到挖礦病毒的騷擾，如果有人說機器cpu被莫名其妙的程序佔用百分之八十以上，大概率是中了挖礦病毒。

說說挖礦病毒的幾個特點：

一、cpu佔用高，就是文中一開始所說的，因為挖礦病毒的目的就是為了讓機器不停的計算來獲利，所以cpu利用率都會很高。

二、進程名非常奇怪，或者隱藏進程名。發現機器異常以後，使用top命令查看，情況好的能看到進程名，名字命名奇怪，我見過的linux上中毒的是以. exe命名的程序。對於隱藏進程名這種情況，找起來就更加費事了，需要查看具備linux相關的系統知識。

三、殺死後復活，找到進程之後，用kill命令發現很快就會復活，挖礦病毒一般都有守護進程，要殺死守護進程才行。

四、內網環境下，一台機器被感染，傳播迅速，很快會感染到其他機器。

挖礦病毒的防禦

挖礦病毒最好的防禦重在平時安全規范，內網機器不要私自將服務開放到公司，需要走公司的統一介面，統一介面在請求進入到內網之前，會有安全措施，是公司入口的第一道安全門。還有就是公司內網做好隔離，主要是防止一個環境感染病毒，擴散到全網。

對於已經感染的情況，可以通過dns劫持病毒訪問的域名，公網出口過濾訪問的地址，這些手段是防止病毒擴大的手段，對於已經感染的機器，只能通過開始講的幾種方法找到並殺死病毒了。

『肆』 挖礦病毒怎麼處理

挖礦病毒處理步驟如下：

1、查看伺服器進程運行狀態查看伺服器系統整體運行情況，發現名為kdevtmpfsi的挖礦進程大量佔用系統CPU使用率。

2、查看埠及外聯情況查看埠開放狀態及外聯情況，發現主機存在陌生外聯行為。對該外部地址進行查詢發現屬於國外地址，進一步確定該進程為惡意挖礦進程：定位挖礦進程及其守護進程PID挖礦病毒kdevtmpfsi在運行過程中不僅會產生進程kdevtmpfsi。

6、查看redis日誌通過查看redis配置文件/etc/redis.conf發現日誌功能未開啟。

7、查找敏感文件發現authorized_keys文件。

8、查看ssh日誌文件查看ssh日誌文件，發現大量登陸痕跡以及公鑰上傳痕跡。

『伍』 IP地址被疑挖礦怎麼辦

1、首先使用find命令在IP地址中找到kdevtmpfsi進程的位置。
2、其次利用這個進程找到挖礦程序的守護進程並kill它，刪除守護進程的文件，刪除挖礦程序的所有文件。
3、最後殺死挖礦進程並刪除它的定時任務即可。

『陸』 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。

『柒』 以太坊是騙人的嗎怎麼做

不是騙人的，必須要懂行的人帶你入行，不然不熟的人帶你你就會走進資金盤，做以太坊可以有兩個方向，
第一：下載交易所軟體在上面交易，跟股票交易一樣的，可以買多，也可以做空，也可以量化，也可以開合約，也可以開杠桿，總之跟股票操作差不多，這種來錢快，虧欠也快。
第二種：就是去廠家買顯卡或者礦機回來連網通電就可以在電腦上挖礦，每天都有收益可以提現，這個很輕松沒有風險，只有回本周期，這行就屬於投資越大回本越快賺得越多。
希望可以幫到你

『捌』 CPU被挖礦排查方案

查看/root/.ssh/authorized_keys

如果有authorized_keys文件中的公鑰請及時清理，或者刪除該文件
當使用rm刪除文件和文件夾的時候提示：rm: 無法刪除"bash": 不允許的操作
解決方法：

2.cpu使用率基本跑滿（用戶態），沒有發現可疑的進程，初步懷疑可能是進程在哪裡隱藏了
可能是起的一個守護進程
執行命令ps -aux --sort=-pcpu|head -10

查看高鏈者dns
果然dns被修改了

發現定時任務被加入了一條
0 */8 * * * root /usr/lib/libiacpkmn

根據定時任務中的可疑文件所在路徑/usr/lib/libiacpkmn
排查中發現/etc/rc.d/init.d/, /usr/bin/存在可執行文件nfstruncate，
在rc0.d-rc6.d目錄下都存在S01nfstruncate文件，可能是自啟動文件
現在排查的很明朗了，接下來著手清理工作

使用top命令觀察佔用cpu程序的PID

通過PID查看該程序所在的目錄：ls /proc/{PID}/
執行ll /proc/{PID}查看該程序運行的目錄

將這些文件的許可權全部修改成000，使這些程序無法繼續執行：chmod 000 -R *

然後kill -9 {PID}

補充：
執行crontab -l 查看是否有可疑計劃任務在執行，如有請及時刪除（crontab -r）
通過上面的排查步驟我們可以看到cron程序是運行在/root/.bashtemp/a目錄下的，但/root/.bashtemp/目錄下還有很多這樣的程序，所以也要執行：chmod 000 -R * 將所有惡意程序戚薯的許可權清除
一般來講通過以上步驟可以將惡意程序幹掉，但喚宏不排除不法分子還留有其他後門程序，為了避免類似情況發生，建議保存重要數據後重裝操作系統,後續請對伺服器做安全加固，以免再次被入侵，比如更改默認遠程埠、配置防火牆規則、設置復雜度較高的密碼等方法

備註：部分可參考 https://zhuanlan.hu.com/p/96601673

『玖』 以太坊礦池有哪些

1. Ethpool（Ethermine）ETHpool.org是第一個官方的以太坊礦池。此前由於工作量超負荷，該礦池不接受新用戶，只接受老客戶。因此，許多新礦工被迫轉向單獨挖礦，因為那時還沒有其他可替代的礦池。在Ethpool上挖礦，必須安裝以太坊的C++ETH版本。? 市場佔有率：23％? 當前礦池算力：399.1GH / s? 挖礦獎勵結算模式：PPLNS? 費率：1.0％? 網址：https://ethpool.org/2. NanopoolNanopool雖然是新礦池，但已經是目前以太坊上最大的礦池之一。份額（Share）的復雜性是靜態的，相當於50億。在該礦池上進行挖礦的最低哈希率僅為5 Mhesh / s。此外，此礦池根據PPLNS方案計算挖礦獎勵，其中N是最近10分鍾內所有接受的份額。（註：PPLNS全稱Pay Per Last N Shares，即根據最近的N個股份來支付收益。）Nanopool的伺服器遍及全球，官網頁面簡潔直觀。但是這個礦池的最低支付門檻相對較高，建議連接3個伺服器，避免等待長時間的付款期。? 市場佔有率：8％? 當前礦池算力：16,176.3GH / s? 挖礦獎勵結算模式：PPLNS? 費用：1.0％? 網址：https://eth.nanopool.org/3. F2Pool（魚池）F2Pool是2019年最受歡迎的礦池之一。F2pool的伺服器主要位於中國、其他亞洲國家和美國。F2pool.com因其開放性，可訪問性和易用性而備受礦工喜愛。礦工在F2Pool上注冊後才可以挖礦。以太坊挖礦需要一個顯卡礦機。 ? 市場佔有率：10％? 當前礦池算力：19.38TH / s? 挖礦獎勵結算模式：PPS+? 費率：2.5％? 網址：https://www.f2pool.com/4. Sparkpool（星火礦池）在ETH，GRIN和BEAM生態系統中，最強大的中國資源庫是Sparkpool，它是與全球礦工合作的開放資源。在挖礦之前，你需要配置礦機。基於AMD GPU處理器的以太坊挖礦收益更高。它需要快閃記憶體改進的BIOS並調整MSI Afterburner或AMD驅動程序設置中的超頻選項。 ? 市場佔有率：29％? 當前礦池算力：56.96TH / s? 挖礦獎勵結算模式：PPS +? 費用：1.0％? 網址：https://www.sparkpool.com/5. Dwarfpool在DwarfPool，礦工的信用等級分為RBPPS或HBPPS。使用RBPPS，只要有A值，你就可以獲得對應獎勵（死塊除外）。HBPPS計提演算法是基於時間的股份支付。每小時計算一次所有推廣和發現的區塊。該礦池具有經過優化的最佳挖礦引擎，拒絕率較低，透明且詳細的統計信息。每小時進行一次支付結算，伺服器遍布世界各地。? 市場佔有率：6％? 當前礦池算力：2377109 MH / s? 挖礦獎勵結算模式：HBPPS? 費用：1.0％? 網址：https://dwarfpool.com/6. MiningPoolHubMiningPoolHub允許礦工通過挖礦獲利，並根據不同支付系統的匯率來交易數字貨幣。該礦池使用PPLNS演算法確定用戶獎勵。提款手續費為0.9％。? 市場份額：3.7％? 當前礦池算力：7.05T / s? 挖礦獎勵類型：PPLNS? 費用：1.0％?