怎麼查找挖礦病毒

Ⅰ 我電腦好像中挖礦木馬病毒了！怎麼能監測出來

可以打開騰訊智慧安全的頁面
然後在產品裡面找到御點終端全系統
接著在裡面選擇申請使用騰訊御點，再去用病毒查殺功能殺毒

Ⅱ 區域網內被種挖礦病毒，怎麼查找病毒來源主機是哪一台

有以下幾種方法：

1. 在區域網中選部分電腦部署軟體防火牆，然後通過防火牆攔截記錄就能發現病毒源主機。這種適合小規模區域網。

2. 使用專殺工具進行挨個主機殺毒，為防止病毒流竄，只開一台電腦進行殺毒，查殺完畢後立馬關機，再開另一台進行殺毒。工作量比較大。

3. 部署企業版殺毒軟體，如火絨等。如需要，我可以幫你申請三個月免費試用。當然也可以自己去官網申請。

   暫時就想到這么多，希望對你有用。
   

Ⅲ 挖礦病毒

自從比特幣火起來以後，運維和安全同學就經常受到挖礦病毒的騷擾，如果有人說機器cpu被莫名其妙的程序佔用百分之八十以上，大概率是中了挖礦病毒。

說說挖礦病毒的幾個特點：

一、cpu佔用高，就是文中一開始所說的，因為挖礦病毒的目的就是為了讓機器不停的計算來獲利，所以cpu利用率都會很高。

二、進程名非常奇怪，或者隱藏進程名。發現機器異常以後，使用top命令查看，情況好的能看到進程名，名字命名奇怪，我見過的linux上中毒的是以. exe命名的程序。對於隱藏進程名這種情況，找起來就更加費事了，需要查看具備linux相關的系統知識。

三、殺死後復活，找到進程之後，用kill命令發現很快就會復活，挖礦病毒一般都有守護進程，要殺死守護進程才行。

四、內網環境下，一台機器被感染，傳播迅速，很快會感染到其他機器。

挖礦病毒的防禦

挖礦病毒最好的防禦重在平時安全規范，內網機器不要私自將服務開放到公司，需要走公司的統一介面，統一介面在請求進入到內網之前，會有安全措施，是公司入口的第一道安全門。還有就是公司內網做好隔離，主要是防止一個環境感染病毒，擴散到全網。

對於已經感染的情況，可以通過dns劫持病毒訪問的域名，公網出口過濾訪問的地址，這些手段是防止病毒擴大的手段，對於已經感染的機器，只能通過開始講的幾種方法找到並殺死病毒了。

Ⅳ 怎樣看電腦是否中了挖礦病毒

安裝殺毒軟體，挖礦病毒會佔用你的硬體使用率，打開任務管理器觀察CPU和顯卡的使用率，如果待機時使用率長時間佔用嚴重，就可以懷疑中了挖礦病毒了。

Ⅳ 挖礦病毒怎麼排查

使用騰訊電腦管家殺毒軟體，全面的查殺病毒程序，總計四大反病毒引擎：騰訊電腦管家雲引擎、金山雲查殺、小紅傘本地查殺引擎、趨勢本地引擎，也就是說騰訊電腦管家電腦管家除了自家的雲查殺引擎，還應用了國外兩大品牌的本地查殺引擎，有力的保障了對病毒的精準查殺！！可以徹底的清理干凈病毒木馬程序！！

Ⅵ 記一次解決挖礦病毒的過程（sysupdate、networkservice）

我也是有一段時間伺服器變的很卡，那時我還以為是我自己的軟體裝太多導致的問題，不看不知道，看了嚇一跳，伺服器已經被攻擊了，接下來，我來分享下如何查找和解決這個病毒。

當發現伺服器卡的時候，我們可以採用top命令，如下顯示

我們注意看以上這幾個進程，沒稍加註意的話，我們還以為這幾個是正常的進程，為啥呢？

1、畢竟這幾個的user是apache、www、nobody，因為我的web站點，文件目錄是www目錄，所以這個地方很容易被誤認為就是我們的站點目錄，而且apache本來是web服務，它取成了這個名詞，也容易混淆我們的視野。
2、後面的command名稱取成了networkservice 和sysupdate，名稱很像我們的系統進程，
3、每個進程的cpu佔用都比較小，平均差不多20%個cpu，可是這么多進程加起來，CPU佔用就爆炸了，將近100%了

從上面這個地方可以發現這個攻擊者很聰明，懂得用這種名稱來混淆我們的視野

從上面的top命令知道了這幾個佔用比較大的進程號，我們可以根據其中的某個進程，比如7081入手，來查找其他關聯的進程，使用以下命令，如下圖所示

進入到/etc目錄下，
我們可以看到有sysupdate、networkservice、sysguard三個文件，這三個文件都是二進制文件，這三個應該就是挖礦的主程序和守護程序。還有一個update.sh文件，這應該是對挖礦病毒升級用的。這個update.sh怎麼找出來的呢，其實是通過定時程序裡面的cron找出來的。

再進入到 /var/spool/cron看下定時程序
如下圖所示

可以看到這幾個文件名稱，和剛剛佔用cpu高的進程user，名稱是一樣的

這樣就可以確認的確是病毒攻擊了伺服器

1、刪除所有的定時程序
進入到/etc/crontab、/var/spool/cron/root、/var/spool/cron/crontabs/root等目錄中，刪除其中的定時腳本。
也要記得刪除定時任務，crontab -e，刪除其中的腳本

2、殺掉進程，並刪除文件
以下這幾張圖片的進程id，分別進行kill殺掉

然後刪除/etc下面的 sysupdate、networkservice、sysguard、update.sh和config.json幾個文件
這時候，你可能會發現無法刪除，因為病毒使用了chattr +i 命令，使用如下命令即可刪除

每個無法刪除的文件，都執行如上命令，即可實現刪除文件

3、/root/.ssh/authorized_keys 刪除
可能攻擊者已經在這里配置了登陸，攻擊者可以隨便登陸你的伺服器，你這里要把秘鑰也修改下
經過這些處理後，可以發現我們的伺服器已經不再卡了，如下，沒有佔用高的程序了

轉自： https://www.jianshu.com/p/b99378f0cf8f