伺服器清除挖礦病毒

⑴ win2008伺服器中了挖礦病毒，求解答！

不能完全殺干凈的前提下，備份好自己的數據，然後重裝系統，不然這樣耽誤工作真的很麻煩

⑵ 雲伺服器中挖礦病毒的清除過程（二）

發現一台伺服器，CPU使用率一直50%左右，top查看一進程名稱為
-bash，按c查看詳情，名稱顯示為python
十分可疑

殺掉進程，清空crontab內容，並刪除此目錄文件，發現過一陣進程又被啟動起來了
查看/etc/cron.hourly，發現有一個sync文件，還是會定時執行，內容為

此文件還被加了保護許可權，需要用chattr去除後刪除

cron.daily cron.weekly cron.monthly裡面也有
同樣方法刪除/bin/sysdrr
至此病毒被徹底清除

刪除/opt/.new目錄時，發現此目錄下還有一個/opt/.md目錄，內容如下

病毒運行原理是

其他常用的診斷命令

關聯文章：
雲伺服器中挖礦病毒的清除過程
伺服器中毒導致的wget等系統命令失效後的恢復

參考文章：
【PC樣本分析】記錄最近與挖礦病毒的鬥智斗勇
【PC樣本分析】記錄最近與挖礦病毒的鬥智斗勇(二)

⑶ 阿里雲windows伺服器中了挖礦的病毒怎麼清理

光刪除沒用的，因為沒有解決好漏洞。
建議是重做系統，然後找護衛神給你做一下系統安全加固，把漏洞徹底堵住才有效果。

⑷ miner挖礦木馬該怎麼清除

miner挖礦木馬這種病毒現在經常遇到，在一般情況下使用電腦管家的殺毒功能時無法查殺。

這時需要重啟電腦按F8進入電腦的安全模春遲姿式，在安全模式下，使用電腦旦嫌管家的病毒查殺，扒絕給電腦殺毒，在一般情況下的殺毒軟體可以查殺到此病毒。

miner挖礦木馬是消耗用戶的電腦資源，進行挖礦，導致用戶電腦資源和性能變低，一般看不出來，但是顯卡或CPU佔用很高，是電腦後台自行消耗顯卡與CPU資源的木馬病毒。現在十分常見。

⑸ 比特幣挖礦病毒怎麼去除

可以打開騰訊智慧安全的頁面
然後在漏手蠢產品裡面找到御點終端全系統
接薯凳著在裡面選擇申請使用騰訊御點，再去用病毒查殺功能殺返陪毒

⑹ 挖礦病毒怎麼處理

挖礦病毒處理步驟如下：

1、查看伺服器進程運行狀態查看伺服器系統整體運行情況，發現名為kdevtmpfsi的挖礦進程大量佔用系統CPU使用率。

2、查看埠及外聯情況查看埠開放狀態及外聯情況，發現主機存在陌生外聯行為。對該外部地址進行查詢發現屬於國外地址，進一步確定該進程為惡意挖礦進程：定位挖礦進程及其守護進程PID挖礦病毒kdevtmpfsi在運行過程中不僅會產生進程kdevtmpfsi。

6、查看redis日誌通過查看redis配置文件/etc/redis.conf發現日誌功能未開啟。

7、查找敏感文件發現authorized_keys文件。

8、查看ssh日誌文件查看ssh日誌文件，發現大量登陸痕跡以及公鑰上傳痕跡。

⑺ 伺服器被rshim挖礦病毒攻擊後 HugePages_Total 透明大頁怎麼都清不掉 一直佔用內存 球球

問題定位及解決步驟：

1、free -m 查看內存使用狀態 ，發現free基本沒了。--> 懷疑是服務有內存泄漏，開始排查

2、使用top命令觀察，開啟的服務佔用內存量並不大，且最終文檔在一個值，且服務為java應用，內存並沒達到父jvm設置上限。按top監控佔用內存排序，加起來也不會超過物理內存總量。查看硬碟使用量，佔用20%。基本排除虛擬內存佔用過大的原因。--->排除服務內存泄漏因素，懷疑mysql和nginx，開始排查

3、因為top命令看 mysql佔用內存也再可控范圍，是否存在connection佔用過多內存，發現並不會，設置最大連接數為1000，最多也不會超過幾M。 nginx佔用一直非常小。但每次最先被kill的基本都是nginx進程。所以排查，但發現無非就是openfiles數量啥的調整。發現也一切正常。且之前niginx可以正常使用的。

4、最為費解的就是 通過free -m 查看的時候 基本全是used，cache部分很少，free基本沒有。但top上又找不到有哪些進程佔用了內存。無解

5、注意到有兩個進程雖佔用內存不多，但基本耗光了100%的cpu。開始想著佔cpu就佔了，沒占內存，現在是內存不不夠導致進程被kill的，就沒注意這點。

6、實在搞不定，重啟伺服器，重啟了所有服務，服務暫時可用，回家。在路上的時候發現又崩了。忐忑的睡覺。

7、早上起來繼續看，這次留意注意了下那兩個佔用高cpu的進程，kdevtmpfsi 和 networkservice。本著看看是啥進程的心態，網路了下。真相一目瞭然，兩個挖礦病毒。

突然後知後覺的意識到錯誤原因：

1、cpu佔用率高，正常服務使用cpu頻率較高的服務最容易最內存超標。（因為在需要使用cpu時沒cpu資源，內存大量佔用，服務瞬間崩潰），然後看top發現剛剛已經佔用內存的進程已經被kill了，所以沒發現內存有高佔用的情況。
2、後面的應用繼續使用cpu時也會發生類似情況，倒是服務一個一個逐漸被kill。

問題點基本定位好了，解決問題就相對簡單很多：
通過網路，google，常見的病毒清除步驟基本都能解決。這兩個挖礦病毒很常見，大致記錄下要點。可能所有病毒都會有這些基礎操作。

① 首先，查看當前系統中的定時任務：crontab -l
我伺服器上有四個定時下載任務 通過wget 和 curl 下載病毒文件，把異常的刪掉。要不然刪了病毒文件還是會下載下來
crontab -r，全部刪除命令（或根據需求刪除定時任務）

② 查找病毒文件 可以全部模糊搜索 清除， 但病毒文件基本都用了chattr +i命令 使用chattr -i filename 後再使用rm -f filename 。可刪除

③ kill 病毒進程，但注意kill了可能馬上就重啟了。因為有守護進程，需要把病毒進程的守護進程也kill掉

④ 檢查是否root用戶被攻擊，可能系統配置信息被更改。

⑤ 最好能理解病毒腳本，通過看代碼看它做了些什麼。針對腳本取修復系統。

⑻ 解決挖礦病毒的經歷

線上一台伺服器，CPU高達90%以上，經過top 分析出進程kdevtmpfsi
kill -9 殺死進程無果，很快就會自動恢復
排查步驟：

結果：

病毒被植入到了線上運行的某一docker容器內。

如何先確定是哪一容器再去刪除搜索結果中的病毒文件？

我這台機器跑的容器不多，可以用復制文件的方法，先 docker cp 一個文件到容器中。再去find 這個文件
如果結果還是在剛才搜索病毒的那個文件目錄下（/var/lib/docker/devicemapper/mnt/xxxxx ）就可以確定容器了。結果是php的容器出現了問題。

知道是具體是什麼容器出現了問題，最快的辦法就是先重啟一個新的容器。
我這邊是nginx +php 兩種服務容器，所以先啟動了一個新php容器，修改nginx中配置文件代理後端php伺服器埠為新容器的IP地址。（nginx容器已經映射目錄到宿主機）

修改PHP後端IP地址
cd 宿主機映射nginx的配置文件位置目錄

測試線上環境正常後，刪除原來的php容器。（這是自然也==直接刪除了病毒文件）
執行 TOP命令，CPU佔用正常。
平時防火牆和sellinux都關閉的話，伺服器不要暴漏太多無用埠，出現問題應該最新通過進程名去查找文件的原始位置去分析問題，遇到挖礦病毒也應該多注意/etc/init.d下和cron計劃任務有無異常。
後期也可以寫個cron或者腳本

⑼ 伺服器被檢測出挖礦

有位朋友說，他伺服器使用的好好的，服務商突然封了他伺服器，說是被檢測出挖礦，這位朋友一臉懵「我開游戲的，挖什麼礦」。突然地關停伺服器導致這位朋友損失慘重，那麼為什麼會被檢測出挖礦，以及怎麼處理呢？感興趣的話就繼續往下看吧~

遇到以上問題，需要先找伺服器商對其說明實際情況，配合他們排查，基本上就是中了挖礦病毒。

最簡單的方法就是重裝系統，但是系統盤數據都會清空，這種辦法適用於伺服器里沒什麼需要備份的文件。如果選擇重裝系統，需要把自己的文件掃毒一遍確認安全後再導入伺服器。

但是伺服器里如果有很多重要的文件還有比較難配置的環境，那就需要排查刪除挖礦程序，全盤掃毒，刪除可疑文件，一個個修復病毒對系統的修改。

防範建議：

1.盡量不要使用默認密碼和埠，改一個比較復雜的密碼

2.可以使用寶塔面板登陸伺服器

3.系統自帶的防火牆、安全防護都不要關閉