挖矿软件报毒

『壹』 解决挖矿病毒的经历

线上一台服务器，CPU高达90%以上，经过top 分析出进程kdevtmpfsi
kill -9 杀死进程无果，很快就会自动恢复
排查步骤：

结果：

病毒被植入到了线上运行的某一docker容器内。

如何先确定是哪一容器再去删除搜索结果中的病毒文件？

我这台机器跑的容器不多，可以用复制文件的方法，先 docker cp 一个文件到容器中。再去find 这个文件
如果结果还是在刚才搜索病毒的那个文件目录下（/var/lib/docker/devicemapper/mnt/xxxxx ）就可以确定容器了。结果是php的容器出现了问题。

知道是具体是什么容器出现了问题，最快的办法就是先重启一个新的容器。
我这边是nginx +php 两种服务容器，所以先启动了一个新php容器，修改nginx中配置文件代理后端php服务器端口为新容器的IP地址。（nginx容器已经映射目录到宿主机）

修改PHP后端IP地址
cd 宿主机映射nginx的配置文件位置目录

测试线上环境正常后，删除原来的php容器。（这是自然也==直接删除了病毒文件）
执行 TOP命令，CPU占用正常。
平时防火墙和sellinux都关闭的话，服务器不要暴漏太多无用端口，出现问题应该最新通过进程名去查找文件的原始位置去分析问题，遇到挖矿病毒也应该多注意/etc/init.d下和cron计划任务有无异常。
后期也可以写个cron或者脚本

『贰』 挖矿病毒怎么排查

登录系统查看任务管理器，查看占用内存较大且无法关闭的进程。进程上点击鼠标右键，打开文件位置（先要在文件夹选项中选择显示隐藏文件及操作系文件）。此时你可能会看到有一个Systmss.exe进程和模仿操作系统的svchost.exe进程这里还可以看到一个2.bat文件，右键编辑打开这个文件查看，可查看到恶意进程与哪个挖矿组织通信。

通过查看系统操作日志可分析出病毒的来源、启动时间等信息，一般原因可能是未关闭3389端口且使用了弱密码导致黑客远程登录上次病毒。

根除病毒：将病毒可执行文件Systmss.exe重命名为Systmss.exe1使病毒无法执行，此时可从任务管理器停止进程。打开注册表编辑器删除HKEY_LOCAL_整个目录。

如果是Linux系统请参考：网页链接

『叁』 电脑中了挖矿病毒 怎么办阿 着急 新手小白

ctrl+alt+delete打开任务管理器试一下是否有异常进程暂用cpu

另外可以下载安装360安全卫士开启反挖矿防护，有效拦截，并且使用木马查杀进行全盘查杀

『肆』 挖矿病毒怎么处理

挖矿病毒处理步骤如下：

1、查看服务器进程运行状态查看服务器系统整体运行情况，发现名为kdevtmpfsi的挖矿进程大量占用系统CPU使用率。

2、查看端口及外联情况查看端口开放状态及外联情况，发现主机存在陌生外联行为。对该外部地址进行查询发现属于国外地址，进一步确定该进程为恶意挖矿进程：定位挖矿进程及其守护进程PID挖矿病毒kdevtmpfsi在运行过程中不仅会产生进程kdevtmpfsi。

6、查看redis日志通过查看redis配置文件/etc/redis.conf发现日志功能未开启。

7、查找敏感文件发现authorized_keys文件。

8、查看ssh日志文件查看ssh日志文件，发现大量登陆痕迹以及公钥上传痕迹。

『伍』 中挖矿病毒的表现

故障现象：使用过程中，发现经常有服务无故关闭，登录服务器经检查，发现CPU使用率达到100%。在检测异常进程中，未发现CPU使用率异常的进程（使用 top、htop 以及 ps -aux 进行检查），于是报障。

检测过程：

1.找到他shell脚本对应目录把目录或者文件删除。

2.检查定时任务是否存在挖矿木马文件在定时任务中，避免定时运行挖矿木马文件。

3.添加hosts挖矿病毒访问对应网站，避免二次访问并下载。

4.排查liunx命令是否损坏，如损坏下载"procps-3.2.8"并编译，恢复top等系列命令。

5.检测进程是否异常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的网站程序是否存在漏洞，并排查下nginx或者apache日志审查漏洞所在处。

7.排查ssh登录日志。

8.把ssh登录切换成秘钥登录。

9.重启服务器，检查是否进程是否正常。

『陆』 挖矿病毒

自从比特币火起来以后，运维和安全同学就经常受到挖矿病毒的骚扰，如果有人说机器cpu被莫名其妙的程序占用百分之八十以上，大概率是中了挖矿病毒。

说说挖矿病毒的几个特点：

一、cpu占用高，就是文中一开始所说的，因为挖矿病毒的目的就是为了让机器不停的计算来获利，所以cpu利用率都会很高。

二、进程名非常奇怪，或者隐藏进程名。发现机器异常以后，使用top命令查看，情况好的能看到进程名，名字命名奇怪，我见过的linux上中毒的是以. exe命名的程序。对于隐藏进程名这种情况，找起来就更加费事了，需要查看具备linux相关的系统知识。

三、杀死后复活，找到进程之后，用kill命令发现很快就会复活，挖矿病毒一般都有守护进程，要杀死守护进程才行。

四、内网环境下，一台机器被感染，传播迅速，很快会感染到其他机器。

挖矿病毒的防御

挖矿病毒最好的防御重在平时安全规范，内网机器不要私自将服务开放到公司，需要走公司的统一接口，统一接口在请求进入到内网之前，会有安全措施，是公司入口的第一道安全门。还有就是公司内网做好隔离，主要是防止一个环境感染病毒，扩散到全网。

对于已经感染的情况，可以通过dns劫持病毒访问的域名，公网出口过滤访问的地址，这些手段是防止病毒扩大的手段，对于已经感染的机器，只能通过开始讲的几种方法找到并杀死病毒了。

『柒』 记一次解决挖矿病毒的过程（sysupdate、networkservice）

我也是有一段时间服务器变的很卡，那时我还以为是我自己的软件装太多导致的问题，不看不知道，看了吓一跳，服务器已经被攻击了，接下来，我来分享下如何查找和解决这个病毒。

当发现服务器卡的时候，我们可以采用top命令，如下显示

我们注意看以上这几个进程，没稍加注意的话，我们还以为这几个是正常的进程，为啥呢？

1、毕竟这几个的user是apache、www、nobody，因为我的web站点，文件目录是www目录，所以这个地方很容易被误认为就是我们的站点目录，而且apache本来是web服务，它取成了这个名词，也容易混淆我们的视野。
2、后面的command名称取成了networkservice 和sysupdate，名称很像我们的系统进程，
3、每个进程的cpu占用都比较小，平均差不多20%个cpu，可是这么多进程加起来，CPU占用就爆炸了，将近100%了

从上面这个地方可以发现这个攻击者很聪明，懂得用这种名称来混淆我们的视野

从上面的top命令知道了这几个占用比较大的进程号，我们可以根据其中的某个进程，比如7081入手，来查找其他关联的进程，使用以下命令，如下图所示

进入到/etc目录下，
我们可以看到有sysupdate、networkservice、sysguard三个文件，这三个文件都是二进制文件，这三个应该就是挖矿的主程序和守护程序。还有一个update.sh文件，这应该是对挖矿病毒升级用的。这个update.sh怎么找出来的呢，其实是通过定时程序里面的cron找出来的。

再进入到 /var/spool/cron看下定时程序
如下图所示

可以看到这几个文件名称，和刚刚占用cpu高的进程user，名称是一样的

这样就可以确认的确是病毒攻击了服务器

1、删除所有的定时程序
进入到/etc/crontab、/var/spool/cron/root、/var/spool/cron/crontabs/root等目录中，删除其中的定时脚本。
也要记得删除定时任务，crontab -e，删除其中的脚本

2、杀掉进程，并删除文件
以下这几张图片的进程id，分别进行kill杀掉

然后删除/etc下面的 sysupdate、networkservice、sysguard、update.sh和config.json几个文件
这时候，你可能会发现无法删除，因为病毒使用了chattr +i 命令，使用如下命令即可删除

每个无法删除的文件，都执行如上命令，即可实现删除文件

3、/root/.ssh/authorized_keys 删除
可能攻击者已经在这里配置了登陆，攻击者可以随便登陆你的服务器，你这里要把秘钥也修改下
经过这些处理后，可以发现我们的服务器已经不再卡了，如下，没有占用高的程序了

转自： https://www.jianshu.com/p/b99378f0cf8f

『捌』 手机中了挖矿病毒不恢复出厂设置怎么杀毒

智能手机跟电脑一样是有可能会中病毒的，尤其是在安装了带有病毒的应用后，手机中病毒的几率也会大很多。一旦手机中病毒了就会给它的安全性带来影响，比如手机里面的短信、电脑会被窃取，手机中的各类账号也会被盗等等，给自己造成经济损失。当手机中毒后就需要为它杀毒，避免手机因病毒而造成损失。那么，手机怎样杀毒？本文为大家介绍具体的杀毒方法。

手机怎样杀毒

最简单的手机杀毒方法是安装拥有手机杀毒的软件，例如360手机卫士。下面以360手机卫士为例子，介绍如何给手机杀毒。

步骤一：打开360手机卫士，点击手机杀毒。

步骤二：点击快速扫描，等待扫描结果。

扫描完成后，会提示是否发现病毒，如果发现病毒，可做清理处理。

步骤三：如果快速扫描发现病毒，清理后还是觉得不放心，可以点击全盘扫描，全面扫描手机，彻底杀毒。

利用腾讯手机管家杀毒

1、手机可以安装杀毒软件，直接进行查杀，如腾讯手机管家，还能优化手机系统，提升手机的运行速度。

用腾讯手机管家杀毒的步骤是：到官网下载安装最新版本的腾讯手机管家，安装后更新病毒库-再在手机桌面点击腾讯手机管家-选择病毒查杀-选择快速扫描(或者全盘扫描)即可对手机进行彻底杀毒。

2、在电脑上进行手机杀毒，首先，要通过数据线将你的手机与电脑相连，电脑上便会出现可移动硬盘。比如你只需要打开腾讯电脑管家，找到【杀毒】功能，可以很醒目的看到杀毒选项。你可以根据需要选择【闪电查杀、全盘查杀、和自定义位置查杀】三种模式进行查杀。

手机上具备杀毒功能的管家软件众多，除了腾讯手机管家外，还有乐安全手机管家、金山手机管家、lbe安全大师等，功能也是大同小异，但是目的是一样的，都是在竭力的为手机的安全尽职尽责。

手机杀毒方法都是差不多，只要安装了杀毒软件后就能够有效的帮助手机进行杀毒，避免手机因为中病毒而造成损失。在平常生活中应该要给手机安装一个杀毒软件，无论是360安全卫士还是腾讯手机管家、网络、搜狗等等，大多可以对手机起到好的防护作用，帮助手机防护，避免手机被病毒容易侵袭，造成一定量的经济损失。

『玖』 电脑中挖矿病毒了怎么办

电脑中病毒，那么最好的解决办法就是格式化系统盘或是全盘，或是重新分区后重装系统，通过系统光盘或是制作的u盘启动盘来安装，通过快捷键或是进入bios中设置开机启动项从cd或是usb启动然后安装系统，这样电脑就可以恢复正常使用运行的

『拾』 miner挖矿木马该怎么清除

miner挖矿木马这种病毒现在经常遇到，在一般情况下使用电脑管家的杀毒功能时无法查杀。

这时需要重启电脑按F8进入电脑的安全模春迟姿式，在安全模式下，使用电脑旦嫌管家的病毒查杀，扒绝给电脑杀毒，在一般情况下的杀毒软件可以查杀到此病毒。

miner挖矿木马是消耗用户的电脑资源，进行挖矿，导致用户电脑资源和性能变低，一般看不出来，但是显卡或CPU占用很高，是电脑后台自行消耗显卡与CPU资源的木马病毒。现在十分常见。