游戏官网挖矿病毒

『壹』 记一次解决挖矿病毒的过程（sysupdate、networkservice）

我也是有一段时间服务器变的很卡，那时我还以为是我自己的软件装太多导致的问题，不看不知道，看了吓一跳，服务器已经被攻击了，接下来，我来分享下如何查找和解决这个病毒。

当发现服务器卡的时候，我们可以采用top命令，如下显示

我们注意看以上这几个进程，没稍加注意的话，我们还以为这几个是正常的进程，为啥呢？

1、毕竟这几个的user是apache、www、nobody，因为我的web站点，文件目录是www目录，所以这个地方很容易被误认为就是我们的站点目录，而且apache本来是web服务，它取成了这个名词，也容易混淆我们的视野。
2、后面的command名称取成了networkservice 和sysupdate，名称很像我们的系统进程，
3、每个进程的cpu占用都比较小，平均差不多20%个cpu，可是这么多进程加起来，CPU占用就爆炸了，将近100%了

从上面这个地方可以发现这个攻击者很聪明，懂得用这种名称来混淆我们的视野

从上面的top命令知道了这几个占用比较大的进程号，我们可以根据其中的某个进程，比如7081入手，来查找其他关联的进程，使用以下命令，如下图所示

进入到/etc目录下，
我们可以看到有sysupdate、networkservice、sysguard三个文件，这三个文件都是二进制文件，这三个应该就是挖矿的主程序和守护程序。还有一个update.sh文件，这应该是对挖矿病毒升级用的。这个update.sh怎么找出来的呢，其实是通过定时程序里面的cron找出来的。

再进入到 /var/spool/cron看下定时程序
如下图所示

可以看到这几个文件名称，和刚刚占用cpu高的进程user，名称是一样的

这样就可以确认的确是病毒攻击了服务器

1、删除所有的定时程序
进入到/etc/crontab、/var/spool/cron/root、/var/spool/cron/crontabs/root等目录中，删除其中的定时脚本。
也要记得删除定时任务，crontab -e，删除其中的脚本

2、杀掉进程，并删除文件
以下这几张图片的进程id，分别进行kill杀掉

然后删除/etc下面的 sysupdate、networkservice、sysguard、update.sh和config.json几个文件
这时候，你可能会发现无法删除，因为病毒使用了chattr +i 命令，使用如下命令即可删除

每个无法删除的文件，都执行如上命令，即可实现删除文件

3、/root/.ssh/authorized_keys 删除
可能攻击者已经在这里配置了登陆，攻击者可以随便登陆你的服务器，你这里要把秘钥也修改下
经过这些处理后，可以发现我们的服务器已经不再卡了，如下，没有占用高的程序了

转自： https://www.jianshu.com/p/b99378f0cf8f

『贰』 miner挖矿木马该怎么清除

miner挖矿木马这种病毒现在经常遇到，在一般情况下使用电脑管家的杀毒功能时无法查杀。

这时需要重启电脑按F8进入电脑的安全模春迟姿式，在安全模式下，使用电脑旦嫌管家的病毒查杀，扒绝给电脑杀毒，在一般情况下的杀毒软件可以查杀到此病毒。

miner挖矿木马是消耗用户的电脑资源，进行挖矿，导致用户电脑资源和性能变低，一般看不出来，但是显卡或CPU占用很高，是电脑后台自行消耗显卡与CPU资源的木马病毒。现在十分常见。

『叁』 挖矿病毒怎么处理

挖矿病毒处理步骤如下：

1、查看服务器进程运行状态查看服务器系统整体运行情况，发现名为kdevtmpfsi的挖矿进程大量占用系统CPU使用率。

2、查看端口及外联情况查看端口开放状态及外联情况，发现主机存在陌生外联行为。对该外部地址进行查询发现属于国外地址，进一步确定该进程为恶意挖矿进程：定位挖矿进程及其守护进程PID挖矿病毒kdevtmpfsi在运行过程中不仅会产生进程kdevtmpfsi。

6、查看redis日志通过查看redis配置文件/etc/redis.conf发现日志功能未开启。

7、查找敏感文件发现authorized_keys文件。

8、查看ssh日志文件查看ssh日志文件，发现大量登陆痕迹以及公钥上传痕迹。

『肆』 挖矿病毒怎么排查

登录系统查看任务管理器，查看占用内存较大且无法关闭的进程。进程上点击鼠标右键，打开文件位置（先要在文件夹选项中选择显示隐藏文件及操作系文件）。此时你可能会看到有一个Systmss.exe进程和模仿操作系统的svchost.exe进程这里还可以看到一个2.bat文件，右键编辑打开这个文件查看，可查看到恶意进程与哪个挖矿组织通信。

通过查看系统操作日志可分析出病毒的来源、启动时间等信息，一般原因可能是未关闭3389端口且使用了弱密码导致黑客远程登录上次病毒。

根除病毒：将病毒可执行文件Systmss.exe重命名为Systmss.exe1使病毒无法执行，此时可从任务管理器停止进程。打开注册表编辑器删除HKEY_LOCAL_整个目录。

如果是Linux系统请参考：网页链接

『伍』 中挖矿病毒的表现

故障现象：使用过程中，发现经常有服务无故关闭，登录服务器经检查，发现CPU使用率达到100%。在检测异常进程中，未发现CPU使用率异常的进程（使用 top、htop 以及 ps -aux 进行检查），于是报障。

检测过程：

1.找到他shell脚本对应目录把目录或者文件删除。

2.检查定时任务是否存在挖矿木马文件在定时任务中，避免定时运行挖矿木马文件。

3.添加hosts挖矿病毒访问对应网站，避免二次访问并下载。

4.排查liunx命令是否损坏，如损坏下载"procps-3.2.8"并编译，恢复top等系列命令。

5.检测进程是否异常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的网站程序是否存在漏洞，并排查下nginx或者apache日志审查漏洞所在处。

7.排查ssh登录日志。

8.把ssh登录切换成秘钥登录。

9.重启服务器，检查是否进程是否正常。

『陆』 电脑中挖矿病毒了怎么办

电脑中病毒，那么最好的解决办法就是格式化系统盘或是全盘，或是重新分区后重装系统，通过系统光盘或是制作的u盘启动盘来安装，通过快捷键或是进入bios中设置开机启动项从cd或是usb启动然后安装系统，这样电脑就可以恢复正常使用运行的

『柒』 服务器被检测出挖矿

有位朋友说，他服务器使用的好好的，服务商突然封了他服务器，说是被检测出挖矿，这位朋友一脸懵“我开游戏的，挖什么矿”。突然地关停服务器导致这位朋友损失惨重，那么为什么会被检测出挖矿，以及怎么处理呢？感兴趣的话就继续往下看吧~

遇到以上问题，需要先找服务器商对其说明实际情况，配合他们排查，基本上就是中了挖矿病毒。

最简单的方法就是重装系统，但是系统盘数据都会清空，这种办法适用于服务器里没什么需要备份的文件。如果选择重装系统，需要把自己的文件扫毒一遍确认安全后再导入服务器。

但是服务器里如果有很多重要的文件还有比较难配置的环境，那就需要排查删除挖矿程序，全盘扫毒，删除可疑文件，一个个修复病毒对系统的修改。

防范建议：

1.尽量不要使用默认密码和端口，改一个比较复杂的密码

2.可以使用宝塔面板登陆服务器

3.系统自带的防火墙、安全防护都不要关闭

『捌』 挖矿木马是什么

就是你电脑后台自行消耗显卡与CPU资源的木马病毒，这种木马是看你电脑配置很高，后台自行挖矿，你一般看不出来，但是你显卡或CPU占用很高的。