主机被植入挖矿

1. win版vps被植入流氓挖矿程序，求教

备份下主机数据，然后重装系统

1. 不要用版本太老的系统，建议2012或者2016

2. 重装系统之后删除除管理员外的其他账户，然后安装360安全卫士打补丁

3. 安装服务器安全软件
   

2. 电脑挖矿违法吗

电脑挖矿是违法的。网络挖矿，是计算机被植入的软件程序，会通过特定算法，在计算机上进行运算，运算完成后，自动得到特定结果，从而产生虚拟币，这些虚拟币可在第三方平台换算，获得真实货币。金融机构和非银行支付机构发现代币发行融资交易违法违规线索的，应当及时向有关部门报告。
法律依据：《中华人民共和国刑法》第二百八十五条
【非法侵入计算机信息系统罪】违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。
【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。
【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。
单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。
非法侵入计算机信息系统罪的构成要件有哪些
1、犯罪主体是一般主体；
2、犯罪的主观方面是故意；
3、犯罪的对象是国家事务、国防建设、尖端科学技术领域的计算机信息系统；
4、客观方面只要求有侵入计算机信息系统的行为，是行为犯。

3. 如何查看电脑是否被植入了挖矿程序

如何判断自己的电脑是否被挖矿，怎样预防？
电脑开机后，所有程序都不打开的情况下。按Ctrl+ALT+Del调出任务管理器，在“进程”卡项中，查看CPU的使用情况。如果看到某个进程占用了大量的cpu使用情况，并且几分钟后都没有降低的趋势，这个程序就可能是病毒了。
想要预防自己的电脑被挖矿也很简单，只要安装正规的安全软件，使用安全的浏览器，添加安全合适的插件，就可以防止电脑被挖矿了。
当然，如果不浏览不正规不健康的网站，不下载盗版游戏，盗版软件等就更能从根源杜绝电脑被不法分子挖矿的风险。

4. 局域网内被种挖矿病毒，怎么查找病毒来源主机是哪一台

有以下几种方法：

1. 在局域网中选部分电脑部署软件防火墙，然后通过防火墙拦截记录就能发现病毒源主机。这种适合小规模局域网。

2. 使用专杀工具进行挨个主机杀毒，为防止病毒流窜，只开一台电脑进行杀毒，查杀完毕后立马关机，再开另一台进行杀毒。工作量比较大。

3. 部署企业版杀毒软件，如火绒等。如需要，我可以帮你申请三个月免费试用。当然也可以自己去官网申请。

   暂时就想到这么多，希望对你有用。
   

5. 服务器被攻击并植入kdevtmpfsi挖矿/病毒/木马

MongoDB库中的数据莫名其妙没有了，发觉如下信息：

1、 top -d 5命令 ，查看系统负载情况、是否有未知进程，发现一个名为kdevtmpfsi的进程，经科普它是一个挖矿程序，会占用服务器高额的CPU、内存资源。如图，CPU占用率高达788.7%，而且是yarn用户下：

2、 ps -ef |grep kdevtmpfsi 命令查看 该挖矿程序路径：/tmp/kdevtmpfsi

3、 ps -ef |grep yarn 命令查看更多关于yarn相关进程信息（此时我的服务器并没有开启yarn服务，如果有yarn的相关进程则可判断是攻击者开启的进程），发现另外还有个kinsing进程，经科普kinsing进程是kdevtmpfsi的守护进程：

4、 netstat -lntupaa 命令查看是否有异常的ip,果然发现194.87.102.77这个陌生的ip，判断是kdevtmpfsi的发出者：

5、经查询该ip的所在国家是俄罗斯：

6、 find / -iname kdevtmpfsi 命令再次确定命令所在位置以便删除：

7、 cd /tmp 进入相关目录：

8、 rm -rf kdevtmpfsi 删除kdevtmpfsi程序：

9、** kill -9 40422**杀掉kdevtmpfsi进程：

10、发现并没杀掉所有kdevtmpfsi进程，再次查找yarn的相关进程（因为之前已确认病毒是在yarn下），果真还有kdevtmpfsi进程存在：

11、用命令 批量杀掉 相关进程：

12、删除kinsing文件：

13、现在，已经把挖矿程序及相关进程删除掉了，但是还有两处没做处理：

14、 crontab -l 命令先看看crontab的定时任务列表吧：

15、编写删除挖矿程序脚本 kill_kdevtmpfsi.sh ：

16、新增 定时任务 并删除攻击者的挖矿定时任务：

17、 crontab -l命令 查看现在只有杀进程的定时任务了：

18、禁止黑客的IP地址。

最初安装MongoDB时，并未设置密码认证，存在漏洞，导致黑客通过漏洞攻击服务器，并在程序里植入木马/病毒。单纯的kill -9 id杀掉病毒进程是杀不彻底的，治标不治本，应该定时删除病毒进程，禁止攻击者IP，重新安装系统或相关软件。

经过几天的观察，服务器运行正常，再没有被黑客攻击成功。

6. 计算机病毒调查：越来越多恶意挖矿软件被安装在物联网设备上

光明网天津9月16日电 （记者 李政葳）在2019年国家网络安全宣传周期间，国家计算机病毒应急处理中心发布的“第十八次计算机病毒和移动终端病毒疫情调查报告”显示，2018年我国计算机病毒感染率和移动终端病毒感染率均呈上升态势。其中，网络安全问题呈易变性、不确定性、规模性和模糊性等特点，网络安全事件发生成为大概率事件，信息泄漏、勒索病毒等重大网络安全事件时有发生。

报告显示，云主机成为挖取门罗币、以利币等数字货币的主要利用对象，“云挖矿”悄然兴起。恶意挖矿技术提升明显，产业也趋于成熟，恶意挖矿家族通过相互之间的合作使受害计算机和网络设备价值被更大程度压榨，给安全从业者带来更大挑战；同时，越来越多的恶意挖矿软件被安装在网络和物联网设备上，影响设备性能的同时，也易形成僵尸网络，对整个互联网的安全构成威胁。

报告还提到，数据的重要价值越发凸显，信息泄露事件呈常态化，企业对数据的流向和使用权限监管薄弱，导致目前数据被第三方插件滥用的情况严重。随着移动互联网发展，万物互联的未来逐渐清晰，智能设备的生产过程中通常有大量第三方参与，而这些第三方由于发展迅速导致能力缺失，往往存在开发质量存疑、安全性能无法保障等问题。

另外，报告显示，移动互联网应用形态更加丰富，各类App已全面融入所有互联网业态，移动互联网生态环境日益复杂，与移动互联网相关的新型网络违法犯罪日益突出。在公安部的指导下，国家计算机病毒应急处理中心将进一步加强对移动App与SDK的检验检测，健全完善举报与企业自律工作机制，对发现的问题及时予以曝光，有效净化行业环境。

7. 电脑挖矿违法吗

正常用着的电脑，却被非法控制，替别人“干活”，用户却浑然不知。原来，电脑被植入了挖矿程序及挖矿监控程序，监控程序只要监测到电脑CPU利用率低于50%，挖矿程序就会在后台静默启动，通过大量耗费被控电脑的CPU、GPU资源和电力资源，持续不断地挖取虚拟货币，并将这些虚拟货币转至控制者处，从而提现牟取暴利。
近期，潍坊市公安局网安支队会同青州市公安局在公安部、省公安厅指导下，在腾讯守护者计划安全团队协助下，按照公安部和省公安厅“净网2018专项行动”部署要求，成功破获部督“1.03”特大非法控制计算机信息系统案，目前抓获犯罪嫌疑人20名，取保候审11名，批捕9名。
经查，大连升平网络科技有限公司研发挖矿监控软件、集成挖矿程序后，通过发展下线代理，非法控制了全国389余万台电脑主机做广告增值收益，在100多万台电脑主机静默安装挖矿程序。两年期间共挖取DGB币（“极特币”）、DCR币（“德赛币”）、SC（“云产币”）币2600余万枚，共非法获利1500余万元。
据了解，虽然非法控制计算机信息系统的违法犯罪屡见不鲜，但是数量达到如此之巨，而且通过植入静默挖矿程序这种新型手段，进行虚拟货币变现，这在全国是比较少见的。

游戏外挂暗藏挖矿木马程序
2018年1月3日，潍坊市公安局网安支队接腾讯守护者计划安全团队报案称，腾讯电脑管家检测到一款游戏外挂暗藏了一款木马程序，该木马程序具备后台静默挖矿功能。
“挖矿，就是通过大量计算机运算获取数字货币-虚拟货币奖励，这个过程对电脑硬件配置要求比较高，主机经常长期高负荷运转，显卡、主板、内存等硬件会提前报废，对电脑的损害极大。”办案民警介绍。
办案民警说，违法犯罪人员通常提前调研市面上挖取难度较低的虚拟货币，通过云计算、显卡云计算业务非法控制用户的电脑主机，植入这种虚拟货币的挖矿程序进行挖矿，用户对此毫无察觉，只要电脑处于开机状态，挖矿程序就在后台静默运转，在挖取到大量矿币后迅速转至控制者那里变现提现，牟取高额利润。
初步统计，该木马程序感染数十万台用户机器。潍坊市公安局网安支队接案后，迅速研判案件线索，通过互联网提取到外挂木马样本，找到木马开发者建立的木马交流群，初步落查发现该款木马程序开发者在青州市。市局网安支队将该案情通报青州市公安局，由市局网安支队、青州市局成立专案组，对该案立案侦查。
专案组确定交流群群主身份为杨某宝。通过侦查发现，杨某宝一是建立了多个外挂讨论群，在群文件中共享外挂程序；二是利用“天下网吧论坛”版主的身份，将上传含有木马的外挂程序到“天下网吧”论坛供网民下载；三是通过网络网盘进行分享下载。
3月8日，专案组制定了详细的抓捕方案，在家中将杨某宝抓获。

8. 在网吧蹭wifi有没有可能被植入挖矿木马

不会。网吧的电脑系统拥有很强的保护能力，就算你给电脑植入病毒，经过关机重启之后所有的病毒都会消失。

9. 电脑磁盘一直百分百占用，是被植入挖矿了吗

01关闭家庭组
控制面板–管理工具–服务– HomeGroup Listener和HomeGroup Provider禁用。
02关闭磁盘碎片整理、自动维护计划任务
选中磁盘C-属性–工具–对驱动器进行优化和碎片整理–优化–更改设置–取消选择按计划运行。
03关闭Windows Defender（视情况而定）
控制面板–Windows Defender –设置–实施保护-去掉勾和管理员–启用 Windows Defender –去掉勾。
控制面板–管理工具–服务- Windows Defender Service禁用。
04关闭Windows Search
控制面板–管理工具–服务- Windows Search禁用。
05设置好 Superfetch 服务
控制面板–管理工具–服务– Superfetch -启动类型–自动（延迟启动）。
06清理Windows.old文件夹
C盘–右键–属性-磁盘清理-选中以前的Windows 安装复选框–确定清理。

10. 警惕：389万台电脑被植入挖矿木马，你中招了吗

针对这样的木马侵入建议安装安全软件来进行防护
下载腾讯电脑管家，开启实时防护功能

一旦浏览病毒网页或者下载病毒软件都会提出安全警示
如果有病毒侵入电脑还能立即进行提示并进行病毒查杀