揭秘无文件挖矿病毒

⑴ 解决挖矿病毒的经历

线上一台服务器，CPU高达90%以上，经过top 分析出进程kdevtmpfsi
kill -9 杀死进程无果，很快就会自动恢复
排查步骤：

结果：

病毒被植入到了线上运行的某一docker容器内。

如何先确定是哪一容器再去删除搜索结果中的病毒文件？

我这台机器跑的容器不多，可以用复制文件的方法，先 docker cp 一个文件到容器中。再去find 这个文件
如果结果还是在刚才搜索病毒的那个文件目录下（/var/lib/docker/devicemapper/mnt/xxxxx ）就可以确定容器了。结果是php的容器出现了问题。

知道是具体是什么容器出现了问题，最快的办法就是先重启一个新的容器。
我这边是nginx +php 两种服务容器，所以先启动了一个新php容器，修改nginx中配置文件代理后端php服务器端口为新容器的IP地址。（nginx容器已经映射目录到宿主机）

修改PHP后端IP地址
cd 宿主机映射nginx的配置文件位置目录

测试线上环境正常后，删除原来的php容器。（这是自然也==直接删除了病毒文件）
执行 TOP命令，CPU占用正常。
平时防火墙和sellinux都关闭的话，服务器不要暴漏太多无用端口，出现问题应该最新通过进程名去查找文件的原始位置去分析问题，遇到挖矿病毒也应该多注意/etc/init.d下和cron计划任务有无异常。
后期也可以写个cron或者脚本

⑵ 挖矿病毒怎么排查

登录系统查看任务管理器，查看占用内存较大且无法关闭的进程。进程上点击鼠标右键，打开文件位置（先要在文件夹选项中选择显示隐藏文件及操作系文件）。此时你可能会看到有一个Systmss.exe进程和模仿操作系统的svchost.exe进程这里还可以看到一个2.bat文件，右键编辑打开这个文件查看，可查看到恶意进程与哪个挖矿组织通信。

通过查看系统操作日志可分析出病毒的来源、启动时间等信息，一般原因可能是未关闭3389端口且使用了弱密码导致黑客远程登录上次病毒。

根除病毒：将病毒可执行文件Systmss.exe重命名为Systmss.exe1使病毒无法执行，此时可从任务管理器停止进程。打开注册表编辑器删除HKEY_LOCAL_整个目录。

如果是Linux系统请参考：网页链接

⑶ 挖矿病毒分析（centos7）

rm -rf /root/.ssh/*
如果有配置过密钥认证，需要删除指定的黑客创建的认证文件即可。
ls /proc/10341 查看进程文件

该脚本执行了 /xm 脚本，并且总是会重启服务。如果此程序不进行清除，即使杀死了对应的进程，过一会还是会执行重新创建，又导致服务器异常。

因此，先停止启动脚本配置项：

systemctl disable name.service
删除脚本：

rm -rf /etc/systemd/system/xm.service

5,启动脚本删除完后，删除相应的程序
ps -ef|grep xmrig
ps -ef|grep javs

kill 9 pid

ls /proc/10341

⑷ 挖矿病毒怎么处理

挖矿病毒处理步骤如下：

1、查看服务器进程运行状态查看服务器系统整体运行情况，发现名为kdevtmpfsi的挖矿进程大量占用系统CPU使用率。

2、查看端口及外联情况查看端口开放状态及外联情况，发现主机存在陌生外联行为。对该外部地址进行查询发现属于国外地址，进一步确定该进程为恶意挖矿进程：定位挖矿进程及其守护进程PID挖矿病毒kdevtmpfsi在运行过程中不仅会产生进程kdevtmpfsi。

6、查看redis日志通过查看redis配置文件/etc/redis.conf发现日志功能未开启。

7、查找敏感文件发现authorized_keys文件。

8、查看ssh日志文件查看ssh日志文件，发现大量登陆痕迹以及公钥上传痕迹。

⑸ 中挖矿病毒的表现

故障现象：使用过程中，发现经常有服务无故关闭，登录服务器经检查，发现CPU使用率达到100%。在检测异常进程中，未发现CPU使用率异常的进程（使用 top、htop 以及 ps -aux 进行检查），于是报障。

检测过程：

1.找到他shell脚本对应目录把目录或者文件删除。

2.检查定时任务是否存在挖矿木马文件在定时任务中，避免定时运行挖矿木马文件。

3.添加hosts挖矿病毒访问对应网站，避免二次访问并下载。

4.排查liunx命令是否损坏，如损坏下载"procps-3.2.8"并编译，恢复top等系列命令。

5.检测进程是否异常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的网站程序是否存在漏洞，并排查下nginx或者apache日志审查漏洞所在处。

7.排查ssh登录日志。

8.把ssh登录切换成秘钥登录。

9.重启服务器，检查是否进程是否正常。

⑹ 新电脑病毒来袭:中招电脑会偷偷的挖矿给黑客赚钱

据华尔街日报消息，一种名为Adylkuzz的病毒正在蔓延，和近日在全球爆发的WannaCry勒索病毒不同的是，该病毒不会锁定用户的屏幕，也不会对用户的电脑进行加密，但它能够在用户毫不知情的情况下悄然占据电脑处理器资源，偷偷生产一种类似于比特币的数字货币。

据美国知名网络安全公司Proofpoint披露，该病毒早就在两星期以前就开始传播了，截至本周三已在全球感染了超过15万台的计算机，在一次攻击案例中，该病毒已经为黑客赚取了2.2万美元的非法获利。

实在做不到以上几点的话，用户可以先断网再开机，就是先拔掉网线然后开机，这样一来基本能够避免被勒索病毒感染，同时注意备份重要数据，不要打开不明链接、文件和邮件，尽量想办法给自己的电脑打上安全补丁。

原创声明：本文(不含图片)由文栋说自媒体网站原创，享有独立版权，如需转载敬请带上本段版权，本站对一切转载不保留版权的行为追究法律责任！

⑺ 手机如何清除挖矿木马

下载杀毒软件，比如手机安全卫士，进行杀毒清理，然后重启手机就可以了。

⑻ 记一次解决挖矿病毒的过程（sysupdate、networkservice）

我也是有一段时间服务器变的很卡，那时我还以为是我自己的软件装太多导致的问题，不看不知道，看了吓一跳，服务器已经被攻击了，接下来，我来分享下如何查找和解决这个病毒。

当发现服务器卡的时候，我们可以采用top命令，如下显示

我们注意看以上这几个进程，没稍加注意的话，我们还以为这几个是正常的进程，为啥呢？

1、毕竟这几个的user是apache、www、nobody，因为我的web站点，文件目录是www目录，所以这个地方很容易被误认为就是我们的站点目录，而且apache本来是web服务，它取成了这个名词，也容易混淆我们的视野。
2、后面的command名称取成了networkservice 和sysupdate，名称很像我们的系统进程，
3、每个进程的cpu占用都比较小，平均差不多20%个cpu，可是这么多进程加起来，CPU占用就爆炸了，将近100%了

从上面这个地方可以发现这个攻击者很聪明，懂得用这种名称来混淆我们的视野

从上面的top命令知道了这几个占用比较大的进程号，我们可以根据其中的某个进程，比如7081入手，来查找其他关联的进程，使用以下命令，如下图所示

进入到/etc目录下，
我们可以看到有sysupdate、networkservice、sysguard三个文件，这三个文件都是二进制文件，这三个应该就是挖矿的主程序和守护程序。还有一个update.sh文件，这应该是对挖矿病毒升级用的。这个update.sh怎么找出来的呢，其实是通过定时程序里面的cron找出来的。

再进入到 /var/spool/cron看下定时程序
如下图所示

可以看到这几个文件名称，和刚刚占用cpu高的进程user，名称是一样的

这样就可以确认的确是病毒攻击了服务器

1、删除所有的定时程序
进入到/etc/crontab、/var/spool/cron/root、/var/spool/cron/crontabs/root等目录中，删除其中的定时脚本。
也要记得删除定时任务，crontab -e，删除其中的脚本

2、杀掉进程，并删除文件
以下这几张图片的进程id，分别进行kill杀掉

然后删除/etc下面的 sysupdate、networkservice、sysguard、update.sh和config.json几个文件
这时候，你可能会发现无法删除，因为病毒使用了chattr +i 命令，使用如下命令即可删除

每个无法删除的文件，都执行如上命令，即可实现删除文件

3、/root/.ssh/authorized_keys 删除
可能攻击者已经在这里配置了登陆，攻击者可以随便登陆你的服务器，你这里要把秘钥也修改下
经过这些处理后，可以发现我们的服务器已经不再卡了，如下，没有占用高的程序了

转自： https://www.jianshu.com/p/b99378f0cf8f

⑼ 电脑中了挖矿病毒

方法/步骤
首先，如果是菜鸟写出的病毒，大家可以太任务管理器中，找到该文件路径，直接终结进程树，或直接找到路径删除即可。

2/6
第二，如果对方技术够本，我们很难终结进程，那么，我们可以下载一个电脑管家，现在的电脑管家也增大了挖矿病毒的扫描率，如果查找到直接清理即可。

3/6
第三，如果电脑管家也无法搞定那么，我们可以avast查杀，这个程序在杀毒方面，简直是第一，对于挖矿病毒来说，更是犹如利剑。

4/6
第四，如果使用avast之后，我们还怀疑电脑有挖矿病毒的话，我们先打开进程手动把文档路径放到隔离区。

5/6
第五，在放到隔离区之后，我们使用avast的放松以供分析，然后发给avast的工作员工，备注怀疑是挖矿病毒，对方给我们人工分析，如果是，对方也会帮我们删除。

6/6
第六，如果在专业坚定之后，我们还有所怀疑的话，如果不是大牛，那么，大舅就需要重装电脑了，毕竟，一装百物清。
网络经验:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望采纳谢谢(≧∇≦)

⑽ 我的电脑似乎中了挖矿病毒，求解怎么办

1. 建议您安装瑞星杀毒软件V16+版本升级到最新病毒库后，重启计算机按F8键选择安全模式，进行病毒扫描查杀；

2. 如果病毒很顽固或者破坏了系统文件 推荐重新安装系统即可。