挖矿守护程序

『壹』 服务器被攻击并植入kdevtmpfsi挖矿/病毒/木马

MongoDB库中的数据莫名其妙没有了，发觉如下信息：

1、 top -d 5命令 ，查看系统负载情况、是否有未知进程，发现一个名为kdevtmpfsi的进程，经科普它是一个挖矿程序，会占用服务器高额的CPU、内存资源。如图，CPU占用率高达788.7%，而且是yarn用户下：

2、 ps -ef |grep kdevtmpfsi 命令查看 该挖矿程序路径：/tmp/kdevtmpfsi

3、 ps -ef |grep yarn 命令查看更多关于yarn相关进程信息（此时我的服务器并没有开启yarn服务，如果有yarn的相关进程则可判断是攻击者开启的进程），发现另外还有个kinsing进程，经科普kinsing进程是kdevtmpfsi的守护进程：

4、 netstat -lntupaa 命令查看是否有异常的ip,果然发现194.87.102.77这个陌生的ip，判断是kdevtmpfsi的发出者：

5、经查询该ip的所在国家是俄罗斯：

6、 find / -iname kdevtmpfsi 命令再次确定命令所在位置以便删除：

7、 cd /tmp 进入相关目录：

8、 rm -rf kdevtmpfsi 删除kdevtmpfsi程序：

9、** kill -9 40422**杀掉kdevtmpfsi进程：

10、发现并没杀掉所有kdevtmpfsi进程，再次查找yarn的相关进程（因为之前已确认病毒是在yarn下），果真还有kdevtmpfsi进程存在：

11、用命令 批量杀掉 相关进程：

12、删除kinsing文件：

13、现在，已经把挖矿程序及相关进程删除掉了，但是还有两处没做处理：

14、 crontab -l 命令先看看crontab的定时任务列表吧：

15、编写删除挖矿程序脚本 kill_kdevtmpfsi.sh ：

16、新增 定时任务 并删除攻击者的挖矿定时任务：

17、 crontab -l命令 查看现在只有杀进程的定时任务了：

18、禁止黑客的IP地址。

最初安装MongoDB时，并未设置密码认证，存在漏洞，导致黑客通过漏洞攻击服务器，并在程序里植入木马/病毒。单纯的kill -9 id杀掉病毒进程是杀不彻底的，治标不治本，应该定时删除病毒进程，禁止攻击者IP，重新安装系统或相关软件。

经过几天的观察，服务器运行正常，再没有被黑客攻击成功。

『贰』 阿里云windows服务器如何去除挖矿病毒

找到进程，然后找到他文件路径，干掉进程，删掉文件。
另外找找其他可疑进程，避免病毒有守护进程或者其他隐藏进程

『叁』 挖矿病毒

自从比特币火起来以后，运维和安全同学就经常受到挖矿病毒的骚扰，如果有人说机器cpu被莫名其妙的程序占用百分之八十以上，大概率是中了挖矿病毒。

说说挖矿病毒的几个特点：

一、cpu占用高，就是文中一开始所说的，因为挖矿病毒的目的就是为了让机器不停的计算来获利，所以cpu利用率都会很高。

二、进程名非常奇怪，或者隐藏进程名。发现机器异常以后，使用top命令查看，情况好的能看到进程名，名字命名奇怪，我见过的linux上中毒的是以. exe命名的程序。对于隐藏进程名这种情况，找起来就更加费事了，需要查看具备linux相关的系统知识。

三、杀死后复活，找到进程之后，用kill命令发现很快就会复活，挖矿病毒一般都有守护进程，要杀死守护进程才行。

四、内网环境下，一台机器被感染，传播迅速，很快会感染到其他机器。

挖矿病毒的防御

挖矿病毒最好的防御重在平时安全规范，内网机器不要私自将服务开放到公司，需要走公司的统一接口，统一接口在请求进入到内网之前，会有安全措施，是公司入口的第一道安全门。还有就是公司内网做好隔离，主要是防止一个环境感染病毒，扩散到全网。

对于已经感染的情况，可以通过dns劫持病毒访问的域名，公网出口过滤访问的地址，这些手段是防止病毒扩大的手段，对于已经感染的机器，只能通过开始讲的几种方法找到并杀死病毒了。

『肆』 挖矿病毒怎么处理

挖矿病毒处理步骤如下：

1、查看服务器进程运行状态查看服务器系统整体运行情况，发现名为kdevtmpfsi的挖矿进程大量占用系统CPU使用率。

2、查看端口及外联情况查看端口开放状态及外联情况，发现主机存在陌生外联行为。对该外部地址进行查询发现属于国外地址，进一步确定该进程为恶意挖矿进程：定位挖矿进程及其守护进程PID挖矿病毒kdevtmpfsi在运行过程中不仅会产生进程kdevtmpfsi。

6、查看redis日志通过查看redis配置文件/etc/redis.conf发现日志功能未开启。

7、查找敏感文件发现authorized_keys文件。

8、查看ssh日志文件查看ssh日志文件，发现大量登陆痕迹以及公钥上传痕迹。

『伍』 IP地址被疑挖矿怎么办

1、首先使用find命令在IP地址中找到kdevtmpfsi进程的位置。
2、其次利用这个进程找到挖矿程序的守护进程并kill它，删除守护进程的文件，删除挖矿程序的所有文件。
3、最后杀死挖矿进程并删除它的定时任务即可。

『陆』 求助服务器被挖矿程序入侵，如何排查

新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接

服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般

会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这

就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客

户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，

仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查

当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病

毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，

客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击

状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开

发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重

的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，

SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器

一切稳定运行，网站打开正常。

『柒』 以太坊是骗人的吗怎么做

不是骗人的，必须要懂行的人带你入行，不然不熟的人带你你就会走进资金盘，做以太坊可以有两个方向，
第一：下载交易所软件在上面交易，跟股票交易一样的，可以买多，也可以做空，也可以量化，也可以开合约，也可以开杠杆，总之跟股票操作差不多，这种来钱快，亏欠也快。
第二种：就是去厂家买显卡或者矿机回来连网通电就可以在电脑上挖矿，每天都有收益可以提现，这个很轻松没有风险，只有回本周期，这行就属于投资越大回本越快赚得越多。
希望可以帮到你

『捌』 CPU被挖矿排查方案

查看/root/.ssh/authorized_keys

如果有authorized_keys文件中的公钥请及时清理，或者删除该文件
当使用rm删除文件和文件夹的时候提示：rm: 无法删除"bash": 不允许的操作
解决方法：

2.cpu使用率基本跑满（用户态），没有发现可疑的进程，初步怀疑可能是进程在哪里隐藏了
可能是起的一个守护进程
执行命令ps -aux --sort=-pcpu|head -10

查看高链者dns
果然dns被修改了

发现定时任务被加入了一条
0 */8 * * * root /usr/lib/libiacpkmn

根据定时任务中的可疑文件所在路径/usr/lib/libiacpkmn
排查中发现/etc/rc.d/init.d/, /usr/bin/存在可执行文件nfstruncate，
在rc0.d-rc6.d目录下都存在S01nfstruncate文件，可能是自启动文件
现在排查的很明朗了，接下来着手清理工作

使用top命令观察占用cpu程序的PID

通过PID查看该程序所在的目录：ls /proc/{PID}/
执行ll /proc/{PID}查看该程序运行的目录

将这些文件的权限全部修改成000，使这些程序无法继续执行：chmod 000 -R *

然后kill -9 {PID}

补充：
执行crontab -l 查看是否有可疑计划任务在执行，如有请及时删除（crontab -r）
通过上面的排查步骤我们可以看到cron程序是运行在/root/.bashtemp/a目录下的，但/root/.bashtemp/目录下还有很多这样的程序，所以也要执行：chmod 000 -R * 将所有恶意程序戚薯的权限清除
一般来讲通过以上步骤可以将恶意程序干掉，但唤宏不排除不法分子还留有其他后门程序，为了避免类似情况发生，建议保存重要数据后重装操作系统,后续请对服务器做安全加固，以免再次被入侵，比如更改默认远程端口、配置防火墙规则、设置复杂度较高的密码等方法

备注：部分可参考 https://zhuanlan.hu.com/p/96601673

『玖』 以太坊矿池有哪些

1. Ethpool（Ethermine）ETHpool.org是第一个官方的以太坊矿池。此前由于工作量超负荷，该矿池不接受新用户，只接受老客户。因此，许多新矿工被迫转向单独挖矿，因为那时还没有其他可替代的矿池。在Ethpool上挖矿，必须安装以太坊的C++ETH版本。? 市场占有率：23％? 当前矿池算力：399.1GH / s? 挖矿奖励结算模式：PPLNS? 费率：1.0％? 网址：https://ethpool.org/2. NanopoolNanopool虽然是新矿池，但已经是目前以太坊上最大的矿池之一。份额（Share）的复杂性是静态的，相当于50亿。在该矿池上进行挖矿的最低哈希率仅为5 Mhesh / s。此外，此矿池根据PPLNS方案计算挖矿奖励，其中N是最近10分钟内所有接受的份额。（注：PPLNS全称Pay Per Last N Shares，即根据最近的N个股份来支付收益。）Nanopool的服务器遍及全球，官网页面简洁直观。但是这个矿池的最低支付门槛相对较高，建议连接3个服务器，避免等待长时间的付款期。? 市场占有率：8％? 当前矿池算力：16,176.3GH / s? 挖矿奖励结算模式：PPLNS? 费用：1.0％? 网址：https://eth.nanopool.org/3. F2Pool（鱼池）F2Pool是2019年最受欢迎的矿池之一。F2pool的服务器主要位于中国、其他亚洲国家和美国。F2pool.com因其开放性，可访问性和易用性而备受矿工喜爱。矿工在F2Pool上注册后才可以挖矿。以太坊挖矿需要一个显卡矿机。 ? 市场占有率：10％? 当前矿池算力：19.38TH / s? 挖矿奖励结算模式：PPS+? 费率：2.5％? 网址：https://www.f2pool.com/4. Sparkpool（星火矿池）在ETH，GRIN和BEAM生态系统中，最强大的中国资源库是Sparkpool，它是与全球矿工合作的开放资源。在挖矿之前，你需要配置矿机。基于AMD GPU处理器的以太坊挖矿收益更高。它需要闪存改进的BIOS并调整MSI Afterburner或AMD驱动程序设置中的超频选项。 ? 市场占有率：29％? 当前矿池算力：56.96TH / s? 挖矿奖励结算模式：PPS +? 费用：1.0％? 网址：https://www.sparkpool.com/5. Dwarfpool在DwarfPool，矿工的信用等级分为RBPPS或HBPPS。使用RBPPS，只要有A值，你就可以获得对应奖励（死块除外）。HBPPS计提算法是基于时间的股份支付。每小时计算一次所有推广和发现的区块。该矿池具有经过优化的最佳挖矿引擎，拒绝率较低，透明且详细的统计信息。每小时进行一次支付结算，服务器遍布世界各地。? 市场占有率：6％? 当前矿池算力：2377109 MH / s? 挖矿奖励结算模式：HBPPS? 费用：1.0％? 网址：https://dwarfpool.com/6. MiningPoolHubMiningPoolHub允许矿工通过挖矿获利，并根据不同支付系统的汇率来交易数字货币。该矿池使用PPLNS算法确定用户奖励。提款手续费为0.9％。? 市场份额：3.7％? 当前矿池算力：7.05T / s? 挖矿奖励类型：PPLNS? 费用：1.0％?