當前位置:首頁 » 挖礦知識 » 挖礦病毒freebuf

挖礦病毒freebuf

發布時間: 2024-05-27 03:26:04

A. 挖礦病毒

自從比特幣火起來以後,運維和安全同學就經常受到挖礦病毒的騷擾,如果有人說機器cpu被莫名其妙的程序佔用百分之八十以上,大概率是中了挖礦病毒。

說說挖礦病毒的幾個特點:

一、cpu佔用高,就是文中一開始所說的,因為挖礦病毒的目的就是為了讓機器不停的計算來獲利,所以cpu利用率都會很高。

二、進程名非常奇怪,或者隱藏進程名。發現機器異常以後,使用top命令查看,情況好的能看到進程名,名字命名奇怪,我見過的linux上中毒的是以. exe命名的程序。對於隱藏進程名這種情況,找起來就更加費事了,需要查看具備linux相關的系統知識。

三、殺死後復活,找到進程之後,用kill命令發現很快就會復活,挖礦病毒一般都有守護進程,要殺死守護進程才行。

四、內網環境下,一台機器被感染,傳播迅速,很快會感染到其他機器。

挖礦病毒的防禦

挖礦病毒最好的防禦重在平時安全規范,內網機器不要私自將服務開放到公司,需要走公司的統一介面,統一介面在請求進入到內網之前,會有安全措施,是公司入口的第一道安全門。還有就是公司內網做好隔離,主要是防止一個環境感染病毒,擴散到全網。

對於已經感染的情況,可以通過dns劫持病毒訪問的域名,公網出口過濾訪問的地址,這些手段是防止病毒擴大的手段,對於已經感染的機器,只能通過開始講的幾種方法找到並殺死病毒了。

B. 璁板綍涓嬈NAS琚玿mrig鎸栫熆鐥呮瘨鍏ヤ鏡鐨勭粡鍘

```html

銆愯︽儠錛丯AS閬閬噚mrig鎸栫熆鐥呮瘨鍏ヤ鏡璁般


涓寮鍦哄氨緇欎釜璀﹀憡錛浣跨敤鎵嬫満BT涓嬭澆綆$悊杞浠舵椂瑕佽皚鎱庯紒</


鑳屾櫙錛氫竴鍙板叏鍔熻兘涓繪満N5105閰8GB鍐呭瓨錛岃繍琛屽湪PVE鉶氭嫙鏈轟笂錛屼綔涓篘AS錛孫penWRT璐熻矗璺鐢憋紝OMV鎵胯澆鐫NAS鐨勫伐浣溿備笅杞藉伐鍏烽夌敤浜唓bittorrent錛屽畠闅愯棌鍦∣MV鐨勫簢鎶や笅銆


浜嬫儏鐨勭獊鍙橈細CPU鍗犵敤鐖嗚〃錛岀枒浜戞誕鐜</


6鏈7鏃ワ紝鎴戜緥琛屾鏌PVE鍚庡彴錛孫MV鐨凜PU浣跨敤鐜囩珶鐒舵弧杞斤紝榪樹互涓烘槸PT浠誨姟鎵鑷淬傜劧鑰岋紝鎵撳紑qbittorrent鍚庡彴錛屽嵈涓嶈佷換浣曟椿璺冧換鍔★紝鍙鏄闆舵槦鐨勪笂浼犲崰鐢ㄤ簺璁稿甫瀹姐傞偅涓鍒伙紝鎴戝療瑙夊埌浜嗕笉瀵誨父銆


娣卞叆鎺㈢┒錛鐥呮瘨鐨勪吉瑁呬笌鍙戠幇</


鐧誨綍OMV鍚庡彴錛屽彂鐜板悕涓簒mrig鐨勮繘紼嬬嫭鍗燙PU銆傜粡榪囩櫨搴︽悳緔錛屾垜鎰忚瘑鍒拌繖鍙鑳芥槸鐥呮瘨錛岃繀閫熸墽琛屼簡kill鍛戒護錛屽彲鎯滃お鍖嗗繖錛屽繕璁版埅鍥句綔涓鴻瘉鎹銆傦紙kill鉶藉揩錛屼絾瑕侀槻鎮d簬鏈鐒</


鎺ョ潃錛屾垜灞曞紑浜嗘繁搴︹滄秷姣掆濊屽姩錛榪借釜鐥呮瘨瓚寵抗</


棣栧厛錛岄氳繃top -c鎵懼埌浜嗙棶姣掓枃浠剁殑鈃忚韓涔嬪勶紝鏋滄柇鍒犻櫎銆傜劧鍚庯紝浠旂粏鎼滅儲鍙鑳界殑鍚庨棬錛屽彂鐜伴檶鐢熷叕閽ユ綔鍏ヤ簡~/.ssh/authorized_keys錛寏/.profile鏂囦歡涔熼伃鍙椾簡綃℃敼錛屾剰鍛崇潃姣忔$櫥褰曢兘鍙鑳芥垚涓虹棶姣掔殑甯鍑躲傛棩蹇楅噷娌℃湁澶栫綉鐧誨綍鐨勮釜榪癸紝瀹氭椂浠誨姟涔熸棤寮傛牱錛岄棶棰樻潵浜嗭紝鐥呮瘨鏄濡備綍鎮勬棤澹版伅鍦板惎鍔ㄧ殑鍛?


瀵繪壘鐥呮瘨鐪熷嚩鐨勭嚎緔</


緋葷粺鏃ュ織鎴愪簡鎴戣拷韙鐨勭嚎緔㈠疂搴擄紝涓鏉″叧閿璁板綍鎻紺轟簡鐪熺浉錛歲bittorrent浠庝竴涓鍦板潃涓嬭澆騫舵墽琛屼簡涓涓鑴氭湰錛岃繖涓鑴氭湰涓嬭澆浜嗘寲鐭胯蔣浠跺苟鍚鍔ㄤ簡榪涚▼銆傝繖璁╂垜鎬鐤戞槸qbittorrent鐨勬紡媧烇紝浣嗗紑婧愯蔣浠剁殑鍙淇″害璁╂垜璐ㄧ枒鍙︽湁韞婅販銆


娣卞叆鎸栨帢錛屾垜鍦╭b鐨勫悗鍙版壘鍒頒簡絳旀堬細縐嶅瓙涓嬭澆鑳屽悗鐨勭樺瘑</


鍘熸潵錛屾瘡嬈$嶅瓙涓嬭澆瀹屾垚鏃訛紝qbittorrent浼氳嚜鍔ㄦ墽琛屼竴孌典唬鐮侊紝涓嬭澆騫惰繍琛屾寲鐭胯剼鏈銆傝繖灝辨剰鍛崇潃錛屾瘡涓鍦轟笅杞介兘鍙鑳借Е鍙戜竴鍦烘棤鎰忚瘑鐨勬寲鎺樻椿鍔錛


鏈鍚庣殑鐤戦棶錛鐥呮瘨濡備綍娼滃叆鐨</


鎴戝洖鎯寵搗鏉ワ紝6鏈3鏃ユ垜鏇懼皾璇曚嬌鐢ㄦ墜鏈虹$悊qb錛岄偅涓ゅぉ鎴戣瘯鐢ㄤ簡涓ゆ捐繙紼嬬$悊宸ュ叿錛屽畠浠鍙鑳芥槸鐥呮瘨鐨勯氶亾銆備絾鐜板湪錛屾垜涓嶆効鍐嶈拷鏌ュ叿浣撴槸鍝嬈懼簲鐢錛屾瘯絝燂紝鐧藉珫鐢靛獎鍚庯紝璁╂垜浠樿垂璐涔拌蔣浠跺彲涓嶆槸鎴戠殑椋庢牸銆


鎬葷粨錛氫俊浠諱笌璀︽儠鐨勫鉤琛</


鎶樿吘褰掓姌鑵撅紝閫夋嫨寮婧愪笉浠h〃鍙浠ュ畬鍏ㄤ俊浠匯傚湪鎼寤哄跺涵褰遍煶涓蹇冩椂錛屾垜浠闇瑕佹洿鍔犺皚鎱庯紝閬垮厤璁╂潵鍘嗕笉鏄庣殑杞浠剁$悊鏍稿績璁懼囥傛潈闄愭帶鍒跺拰浣跨敤root鐢ㄦ埛璋ㄦ厧琛屼簨鏄蹇呴』鐨勩


鏈熷緟鏇村氬畨鍏ㄥ彲闈犵殑寮婧愰」鐩錛岃╂垜浠鑳芥洿瀹夊績鍦頒韓鍙楃戞妧甯︽潵鐨勪究鍒┿傝嚦浜庨偅孌祍h鏂囦歡鐨勮︽儏錛屾儕蹇冨姩欖勶紝璇︽儏璇瘋嚜琛屾煡鐪嬮檮鍥撅紝閾炬帴灝卞厤浜嗐傦紙鐐瑰嚮鍥劇墖錛屾彮闇查殣鈃忕殑鎮愭</


```

C. HEUR:TrOojan.Win32.Miner.gen是什麼病毒

從病毒名稱看,這是挖礦病毒。利用計算機的計算能力,來進行獲得虛擬貨幣

病毒運行過程中會大量佔用計算機資源,導致計算機卡慢。

建議勤打補丁,防止病毒利用漏洞傳播。還可以安裝360安全衛士,默認開啟挖礦木馬防護。

D. 電腦開機後有這個病毒提示是怎麼回事用管嗎

你的電腦系統可能感染了挖礦病毒,可以點擊:阻止。

如果有其他問題,你可以按照我總結的系統修復方法嘗試解決:



方法1、更新和修復所有系統漏洞,這樣通過系統本身更新或打補丁來修復出錯的程序,嘗試來消除錯誤。


方法2、開機不斷點擊F8鍵,進入系統操作選單(如果是Win8,Win8.1,Win10系統,在看見開機畫面後長按電源鍵關機,短時間內重復三次左右可以進入WinRE {Windows 恢復環境},但有的用戶可能需要直接斷開電源。這樣開機後應該能出現高級恢復的界面了),選「最後一次正確配置」,重啟電腦,看能否解決。


方法3、開機不斷點擊F8鍵,進入系統操作選單(如果是Win8,Win8.1,Win10系統,在看見開機畫面後長按電源鍵關機,短時間內重復三次左右可以進入WinRE {Windows 恢復環境},但有的用戶可能需要直接斷開電源。這樣開機後應該能出現高級恢復的界面了),然後尋找「安全模式」,並進入「安全模式」,如能成功進入,依次單擊「開始」→「所有程序」→「附件」→「系統工具」→「系統還原」,出現「系統還原對話框」,選擇「恢復我的計算機到一個較早的時間」。 這樣可以用Windows系統自帶的系統還原功能,還原到以前能正常開機的時候一個還原點。(如果有的話)


方法4、用系統安裝光碟或者系統安裝U盤,放入光碟機或者插入USB介面,重啟電腦,進入光碟安裝系統狀態或者進入U盤安裝系統狀態,等到啟動界面閃過後,不要選安裝系統,而是選修復系統,對目前系統進行修復(可能會運行很長時間,2-4小時都可能),耐心等待修復完成,看看是否能解決問題。


如以上4種方法全部無效,那就只有重裝系統了。

E. 挖礦病毒分析(centos7)

rm -rf /root/.ssh/*
如果有配置過密鑰認證,需要刪除指定的黑客創建的認證文件即可。
ls /proc/10341 查看進程文件

該腳本執行了 /xm 腳本,並且總是會重啟服務。如果此程序不進行清除,即使殺死了對應的進程,過一會還是會執行重新創建,又導致伺服器異常。

因此,先停止啟動腳本配置項:

systemctl disable name.service
刪除腳本:

rm -rf /etc/systemd/system/xm.service

5,啟動腳本刪除完後,刪除相應的程序
ps -ef|grep xmrig
ps -ef|grep javs

kill 9 pid

ls /proc/10341

F. 鎸栫熆鐥呮瘨鎬庝箞澶勭悊

鎸栫熆鐥呮瘨澶勭悊姝ラゅ備笅錛

1銆佹煡鐪嬫湇鍔″櫒榪涚▼榪愯岀姸鎬佹煡鐪嬫湇鍔″櫒緋葷粺鏁翠綋榪愯屾儏鍐碉紝鍙戠幇鍚嶄負kdevtmpfsi鐨勬寲鐭胯繘紼嬪ぇ閲忓崰鐢ㄧ郴緇烠PU浣跨敤鐜囥

2銆佹煡鐪嬬鍙e強澶栬仈鎯呭喌鏌ョ湅絝鍙e紑鏀劇姸鎬佸強澶栬仈鎯呭喌錛屽彂鐜頒富鏈哄瓨鍦ㄩ檶鐢熷栬仈琛屼負銆傚硅ュ栭儴鍦板潃榪涜屾煡璇㈠彂鐜板睘浜庡浗澶栧湴鍧錛岃繘涓姝ョ『瀹氳ヨ繘紼嬩負鎮舵剰鎸栫熆榪涚▼錛氬畾浣嶆寲鐭胯繘紼嬪強鍏跺畧鎶よ繘紼婸ID鎸栫熆鐥呮瘨kdevtmpfsi鍦ㄨ繍琛岃繃紼嬩腑涓嶄粎浼氫駭鐢熻繘紼媖devtmpfsi銆

6銆佹煡鐪媟edis鏃ュ織閫氳繃鏌ョ湅redis閰嶇疆鏂囦歡/etc/redis.conf鍙戠幇鏃ュ織鍔熻兘鏈寮鍚銆

7銆佹煡鎵炬晱鎰熸枃浠跺彂鐜癮uthorized_keys鏂囦歡銆

8銆佹煡鐪媠sh鏃ュ織鏂囦歡鏌ョ湅ssh鏃ュ織鏂囦歡錛屽彂鐜板ぇ閲忕櫥闄嗙棔榪逛互鍙婂叕閽ヤ笂浼犵棔榪廣

G. 電腦中了挖礦病毒

方法/步驟
首先,如果是菜鳥寫出的病毒,大家可以太任務管理器中,找到該文件路徑,直接終結進程樹,或直接找到路徑刪除即可。

2/6
第二,如果對方技術夠本,我們很難終結進程,那麼,我們可以下載一個電腦管家,現在的電腦管家也增大了挖礦病毒的掃描率,如果查找到直接清理即可。

3/6
第三,如果電腦管家也無法搞定那麼,我們可以avast查殺,這個程序在殺毒方面,簡直是第一,對於挖礦病毒來說,更是猶如利劍。

4/6
第四,如果使用avast之後,我們還懷疑電腦有挖礦病毒的話,我們先打開進程手動把文檔路徑放到隔離區。

5/6
第五,在放到隔離區之後,我們使用avast的放鬆以供分析,然後發給avast的工作員工,備注懷疑是挖礦病毒,對方給我們人工分析,如果是,對方也會幫我們刪除。

6/6
第六,如果在專業堅定之後,我們還有所懷疑的話,如果不是大牛,那麼,大舅就需要重裝電腦了,畢竟,一裝百物清。
網路經驗:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望採納謝謝(≧∇≦)

H. 我的電腦似乎中了挖礦病毒,求解怎麼辦

  1. 建議您安裝瑞星殺毒軟體V16+版本升級到最新病毒庫後,重啟計算機按F8鍵選擇安全模式,進行病毒掃描查殺;

  2. 如果病毒很頑固或者破壞了系統文件 推薦重新安裝系統即可。

I. 記一次解決挖礦病毒的過程(sysupdate、networkservice)

我也是有一段時間伺服器變的很卡,那時我還以為是我自己的軟體裝太多導致的問題,不看不知道,看了嚇一跳,伺服器已經被攻擊了,接下來,我來分享下如何查找和解決這個病毒。

當發現伺服器卡的時候,我們可以採用top命令,如下顯示

我們注意看以上這幾個進程,沒稍加註意的話,我們還以為這幾個是正常的進程,為啥呢?

1、畢竟這幾個的user是apache、www、nobody,因為我的web站點,文件目錄是www目錄,所以這個地方很容易被誤認為就是我們的站點目錄,而且apache本來是web服務,它取成了這個名詞,也容易混淆我們的視野。
2、後面的command名稱取成了networkservice 和sysupdate,名稱很像我們的系統進程,
3、每個進程的cpu佔用都比較小,平均差不多20%個cpu,可是這么多進程加起來,CPU佔用就爆炸了,將近100%了

從上面這個地方可以發現這個攻擊者很聰明,懂得用這種名稱來混淆我們的視野

從上面的top命令知道了這幾個佔用比較大的進程號,我們可以根據其中的某個進程,比如7081入手,來查找其他關聯的進程,使用以下命令,如下圖所示

進入到/etc目錄下,
我們可以看到有sysupdate、networkservice、sysguard三個文件,這三個文件都是二進制文件,這三個應該就是挖礦的主程序和守護程序。還有一個update.sh文件,這應該是對挖礦病毒升級用的。這個update.sh怎麼找出來的呢,其實是通過定時程序裡面的cron找出來的。

再進入到 /var/spool/cron看下定時程序
如下圖所示

可以看到這幾個文件名稱,和剛剛佔用cpu高的進程user,名稱是一樣的

這樣就可以確認的確是病毒攻擊了伺服器

1、刪除所有的定時程序
進入到/etc/crontab、/var/spool/cron/root、/var/spool/cron/crontabs/root等目錄中,刪除其中的定時腳本。
也要記得刪除定時任務,crontab -e,刪除其中的腳本

2、殺掉進程,並刪除文件
以下這幾張圖片的進程id,分別進行kill殺掉

然後刪除/etc下面的 sysupdate、networkservice、sysguard、update.sh和config.json幾個文件
這時候,你可能會發現無法刪除,因為病毒使用了chattr +i 命令,使用如下命令即可刪除

每個無法刪除的文件,都執行如上命令,即可實現刪除文件

3、/root/.ssh/authorized_keys 刪除
可能攻擊者已經在這里配置了登陸,攻擊者可以隨便登陸你的伺服器,你這里要把秘鑰也修改下
經過這些處理後,可以發現我們的伺服器已經不再卡了,如下,沒有佔用高的程序了

轉自: https://www.jianshu.com/p/b99378f0cf8f

熱點內容
以太幣挖礦新聞 發布:2024-11-16 03:33:15 瀏覽:186
未來的幣圈發展前景如何 發布:2024-11-16 03:32:35 瀏覽:882
比特幣量化收益 發布:2024-11-16 03:32:28 瀏覽:172
關於比特幣與區塊鏈的說法 發布:2024-11-16 03:25:16 瀏覽:419
區塊鏈電子病歷策劃書 發布:2024-11-16 03:22:27 瀏覽:298
比特幣今美元 發布:2024-11-16 03:20:17 瀏覽:415
btc擔保 發布:2024-11-16 03:15:31 瀏覽:118
最火的區塊鏈游戲6 發布:2024-11-16 03:11:23 瀏覽:33
元宇宙游戲盤 發布:2024-11-16 03:10:05 瀏覽:524
以太坊最初是免費挖的嗎 發布:2024-11-16 03:09:31 瀏覽:322