挖矿病毒应急处理
Ⅰ 芯动矿机病毒解决办法
详细解决办法如下:
瑞星安全专家建议,对于一般用户,针对挖矿病毒攻击,采取如下防御措施,及时更新系统补丁,防止攻击者通过漏洞入侵系统。使用复杂密码,安装杀毒软件,保持监控开启,及时更新病毒库,及时备份数据库。不打开可疑的邮件附件,不点击邮件中的可疑链接。
对于规模较大、设备类型众多、维护工作繁重的企业,推荐使用终端杀毒软件,进行统一查杀,统一打补丁。企业还可以在网络入口处部署防毒墙,在网关处对病毒进行初次拦截,将绝大多数病毒彻底剿灭在企业网络之外。同时,对于企业中存在的虚拟化设备可以部署虚拟化专用版安全软件,有效保障企业内部虚拟系统不受病毒侵扰。
Ⅱ 挖矿病毒怎么处理
挖矿病毒处理步骤如下:
1、查看服务器进程运行状态查看服务器系统整体运行情况,发现名为kdevtmpfsi的挖矿进程大量占用系统CPU使用率。
2、查看端口及外联情况查看端口开放状态及外联情况,发现主机存在陌生外联行为。对该外部地址进行查询发现属于国外地址,进一步确定该进程为恶意挖矿进程:定位挖矿进程及其守护进程PID挖矿病毒kdevtmpfsi在运行过程中不仅会产生进程kdevtmpfsi。
6、查看redis日志通过查看redis配置文件/etc/redis.conf发现日志功能未开启。
7、查找敏感文件发现authorized_keys文件。
8、查看ssh日志文件查看ssh日志文件,发现大量登陆痕迹以及公钥上传痕迹。
Ⅲ 挖矿病毒
自从比特币火起来以后,运维和安全同学就经常受到挖矿病毒的骚扰,如果有人说机器cpu被莫名其妙的程序占用百分之八十以上,大概率是中了挖矿病毒。
说说挖矿病毒的几个特点:
一、cpu占用高,就是文中一开始所说的,因为挖矿病毒的目的就是为了让机器不停的计算来获利,所以cpu利用率都会很高。
二、进程名非常奇怪,或者隐藏进程名。发现机器异常以后,使用top命令查看,情况好的能看到进程名,名字命名奇怪,我见过的linux上中毒的是以. exe命名的程序。对于隐藏进程名这种情况,找起来就更加费事了,需要查看具备linux相关的系统知识。
三、杀死后复活,找到进程之后,用kill命令发现很快就会复活,挖矿病毒一般都有守护进程,要杀死守护进程才行。
四、内网环境下,一台机器被感染,传播迅速,很快会感染到其他机器。
挖矿病毒的防御
挖矿病毒最好的防御重在平时安全规范,内网机器不要私自将服务开放到公司,需要走公司的统一接口,统一接口在请求进入到内网之前,会有安全措施,是公司入口的第一道安全门。还有就是公司内网做好隔离,主要是防止一个环境感染病毒,扩散到全网。
对于已经感染的情况,可以通过dns劫持病毒访问的域名,公网出口过滤访问的地址,这些手段是防止病毒扩大的手段,对于已经感染的机器,只能通过开始讲的几种方法找到并杀死病毒了。
Ⅳ 服务器上如何清除NrsMiner挖矿病毒
挖矿病毒完整清除过程如下,请在断网情况下进行:
1.停止并禁用Hyper-VAccess Protection Agent Service服务;
2.删除C:Windowssystem32NrsDataCache.tlb;
3.删除C:.dll,若删除失败,可重命名该文件为其他名称;
4.重启计算机;
5.删除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目录;
6.删除C:Windowssystem32SecUpdateHost.exe。
7.到微软官方网站下载对应操作系统补丁,下载链接如下:https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
8.安装国内主流杀毒软件,及时更新至最新病毒特征库。
Ⅳ 解决挖矿病毒的经历
线上一台服务器,CPU高达90%以上,经过top 分析出进程kdevtmpfsi
kill -9 杀死进程无果,很快就会自动恢复
排查步骤:
结果:
病毒被植入到了线上运行的某一docker容器内。
如何先确定是哪一容器再去删除搜索结果中的病毒文件?
我这台机器跑的容器不多,可以用复制文件的方法,先 docker cp 一个文件到容器中。再去find 这个文件
如果结果还是在刚才搜索病毒的那个文件目录下(/var/lib/docker/devicemapper/mnt/xxxxx )就可以确定容器了。结果是php的容器出现了问题。
知道是具体是什么容器出现了问题,最快的办法就是先重启一个新的容器。
我这边是nginx +php 两种服务容器,所以先启动了一个新php容器,修改nginx中配置文件代理后端php服务器端口为新容器的IP地址。(nginx容器已经映射目录到宿主机)
修改PHP后端IP地址
cd 宿主机映射nginx的配置文件位置目录
测试线上环境正常后,删除原来的php容器。(这是自然也==直接删除了病毒文件)
执行 TOP命令,CPU占用正常。
平时防火墙和sellinux都关闭的话,服务器不要暴漏太多无用端口,出现问题应该最新通过进程名去查找文件的原始位置去分析问题,遇到挖矿病毒也应该多注意/etc/init.d下和cron计划任务有无异常。
后期也可以写个cron或者脚本
Ⅵ miner挖矿木马该怎么清除
miner挖矿木马这种病毒现在经常遇到,在一般情况下使用电脑管家的杀毒功能时无法查杀。
这时需要重启电脑按F8进入电脑的安全模式,在安全模式下,使用电脑管家的病毒查杀,给电脑杀毒,在一般情况下的杀毒软件可以查杀到此病毒。
miner挖矿木马是消耗用户的电脑资源,进行挖矿,导致用户电脑资源和性能变低,一般看不出来,但是显卡或CPU占用很高,是电脑后台自行消耗显卡与CPU资源的木马病毒。现在十分常见。
Ⅶ 电脑中挖矿病毒了怎么办
电脑中病毒,那么最好的解决办法就是格式化系统盘或是全盘,或是重新分区后重装系统,通过系统光盘或是制作的u盘启动盘来安装,通过快捷键或是进入bios中设置开机启动项从cd或是usb启动然后安装系统,这样电脑就可以恢复正常使用运行的
Ⅷ 电脑中了挖矿病毒
方法/步骤
首先,如果是菜鸟写出的病毒,大家可以太任务管理器中,找到该文件路径,直接终结进程树,或直接找到路径删除即可。
2/6
第二,如果对方技术够本,我们很难终结进程,那么,我们可以下载一个电脑管家,现在的电脑管家也增大了挖矿病毒的扫描率,如果查找到直接清理即可。
3/6
第三,如果电脑管家也无法搞定那么,我们可以avast查杀,这个程序在杀毒方面,简直是第一,对于挖矿病毒来说,更是犹如利剑。
4/6
第四,如果使用avast之后,我们还怀疑电脑有挖矿病毒的话,我们先打开进程手动把文档路径放到隔离区。
5/6
第五,在放到隔离区之后,我们使用avast的放松以供分析,然后发给avast的工作员工,备注怀疑是挖矿病毒,对方给我们人工分析,如果是,对方也会帮我们删除。
6/6
第六,如果在专业坚定之后,我们还有所怀疑的话,如果不是大牛,那么,大舅就需要重装电脑了,毕竟,一装百物清。
网络经验:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望采纳谢谢(≧∇≦)
Ⅸ 手机中了挖矿病毒不恢复出厂设置怎么杀毒
智能手机跟电脑一样是有可能会中病毒的,尤其是在安装了带有病毒的应用后,手机中病毒的几率也会大很多。一旦手机中病毒了就会给它的安全性带来影响,比如手机里面的短信、电脑会被窃取,手机中的各类账号也会被盗等等,给自己造成经济损失。当手机中毒后就需要为它杀毒,避免手机因病毒而造成损失。那么,手机怎样杀毒?本文为大家介绍具体的杀毒方法。
手机怎样杀毒
最简单的手机杀毒方法是安装拥有手机杀毒的软件,例如360手机卫士。下面以360手机卫士为例子,介绍如何给手机杀毒。
步骤一:打开360手机卫士,点击手机杀毒。
步骤二:点击快速扫描,等待扫描结果。
扫描完成后,会提示是否发现病毒,如果发现病毒,可做清理处理。
步骤三:如果快速扫描发现病毒,清理后还是觉得不放心,可以点击全盘扫描,全面扫描手机,彻底杀毒。
利用腾讯手机管家杀毒
1、手机可以安装杀毒软件,直接进行查杀,如腾讯手机管家,还能优化手机系统,提升手机的运行速度。
用腾讯手机管家杀毒的步骤是:到官网下载安装最新版本的腾讯手机管家,安装后更新病毒库-再在手机桌面点击腾讯手机管家-选择病毒查杀-选择快速扫描(或者全盘扫描)即可对手机进行彻底杀毒。
2、在电脑上进行手机杀毒,首先,要通过数据线将你的手机与电脑相连,电脑上便会出现可移动硬盘。比如你只需要打开腾讯电脑管家,找到【杀毒】功能,可以很醒目的看到杀毒选项。你可以根据需要选择【闪电查杀、全盘查杀、和自定义位置查杀】三种模式进行查杀。
手机上具备杀毒功能的管家软件众多,除了腾讯手机管家外,还有乐安全手机管家、金山手机管家、lbe安全大师等,功能也是大同小异,但是目的是一样的,都是在竭力的为手机的安全尽职尽责。
手机杀毒方法都是差不多,只要安装了杀毒软件后就能够有效的帮助手机进行杀毒,避免手机因为中病毒而造成损失。在平常生活中应该要给手机安装一个杀毒软件,无论是360安全卫士还是腾讯手机管家、网络、搜狗等等,大多可以对手机起到好的防护作用,帮助手机防护,避免手机被病毒容易侵袭,造成一定量的经济损失。
Ⅹ 中了挖矿木马,我是如何清理的
目前挖矿木马还没办法查杀,即使是2020年6月的现在,市面上所有的安全卫士都没办法识别出来。这个木马非常狡猾,通过局域网共享传播,感染之后会在本地生成一个合法程序(powershell命令形式的),然后木马程序会自动删除,这也是安全卫士没办法查杀的原因吧。我曾经翻过整个C盘,都没办法找出源文件,只能重装系统了。