病毒挖礦軟體下載
㈠ 挖礦病毒
自從比特幣火起來以後,運維和安全同學就經常受到挖礦病毒的騷擾,如果有人說機器cpu被莫名其妙的程序佔用百分之八十以上,大概率是中了挖礦病毒。
說說挖礦病毒的幾個特點:
一、cpu佔用高,就是文中一開始所說的,因為挖礦病毒的目的就是為了讓機器不停的計算來獲利,所以cpu利用率都會很高。
二、進程名非常奇怪,或者隱藏進程名。發現機器異常以後,使用top命令查看,情況好的能看到進程名,名字命名奇怪,我見過的linux上中毒的是以. exe命名的程序。對於隱藏進程名這種情況,找起來就更加費事了,需要查看具備linux相關的系統知識。
三、殺死後復活,找到進程之後,用kill命令發現很快就會復活,挖礦病毒一般都有守護進程,要殺死守護進程才行。
四、內網環境下,一台機器被感染,傳播迅速,很快會感染到其他機器。
挖礦病毒的防禦
挖礦病毒最好的防禦重在平時安全規范,內網機器不要私自將服務開放到公司,需要走公司的統一介面,統一介面在請求進入到內網之前,會有安全措施,是公司入口的第一道安全門。還有就是公司內網做好隔離,主要是防止一個環境感染病毒,擴散到全網。
對於已經感染的情況,可以通過dns劫持病毒訪問的域名,公網出口過濾訪問的地址,這些手段是防止病毒擴大的手段,對於已經感染的機器,只能通過開始講的幾種方法找到並殺死病毒了。
㈡ 記一次解決挖礦病毒的過程(sysupdate、networkservice)
我也是有一段時間伺服器變的很卡,那時我還以為是我自己的軟體裝太多導致的問題,不看不知道,看了嚇一跳,伺服器已經被攻擊了,接下來,我來分享下如何查找和解決這個病毒。
當發現伺服器卡的時候,我們可以採用top命令,如下顯示
我們注意看以上這幾個進程,沒稍加註意的話,我們還以為這幾個是正常的進程,為啥呢?
1、畢竟這幾個的user是apache、www、nobody,因為我的web站點,文件目錄是www目錄,所以這個地方很容易被誤認為就是我們的站點目錄,而且apache本來是web服務,它取成了這個名詞,也容易混淆我們的視野。
2、後面的command名稱取成了networkservice 和sysupdate,名稱很像我們的系統進程,
3、每個進程的cpu佔用都比較小,平均差不多20%個cpu,可是這么多進程加起來,CPU佔用就爆炸了,將近100%了
從上面這個地方可以發現這個攻擊者很聰明,懂得用這種名稱來混淆我們的視野
從上面的top命令知道了這幾個佔用比較大的進程號,我們可以根據其中的某個進程,比如7081入手,來查找其他關聯的進程,使用以下命令,如下圖所示
進入到/etc目錄下,
我們可以看到有sysupdate、networkservice、sysguard三個文件,這三個文件都是二進制文件,這三個應該就是挖礦的主程序和守護程序。還有一個update.sh文件,這應該是對挖礦病毒升級用的。這個update.sh怎麼找出來的呢,其實是通過定時程序裡面的cron找出來的。
再進入到 /var/spool/cron看下定時程序
如下圖所示
可以看到這幾個文件名稱,和剛剛佔用cpu高的進程user,名稱是一樣的
這樣就可以確認的確是病毒攻擊了伺服器
1、刪除所有的定時程序
進入到/etc/crontab、/var/spool/cron/root、/var/spool/cron/crontabs/root等目錄中,刪除其中的定時腳本。
也要記得刪除定時任務,crontab -e,刪除其中的腳本
2、殺掉進程,並刪除文件
以下這幾張圖片的進程id,分別進行kill殺掉
然後刪除/etc下面的 sysupdate、networkservice、sysguard、update.sh和config.json幾個文件
這時候,你可能會發現無法刪除,因為病毒使用了chattr +i 命令,使用如下命令即可刪除
每個無法刪除的文件,都執行如上命令,即可實現刪除文件
3、/root/.ssh/authorized_keys 刪除
可能攻擊者已經在這里配置了登陸,攻擊者可以隨便登陸你的伺服器,你這里要把秘鑰也修改下
經過這些處理後,可以發現我們的伺服器已經不再卡了,如下,沒有佔用高的程序了
轉自: https://www.jianshu.com/p/b99378f0cf8f
㈢ 鎸栫熆鐥呮瘨鎬庝箞澶勭悊
鎸栫熆鐥呮瘨澶勭悊姝ラゅ備笅錛
1銆佹煡鐪嬫湇鍔″櫒榪涚▼榪愯岀姸鎬佹煡鐪嬫湇鍔″櫒緋葷粺鏁翠綋榪愯屾儏鍐碉紝鍙戠幇鍚嶄負kdevtmpfsi鐨勬寲鐭胯繘紼嬪ぇ閲忓崰鐢ㄧ郴緇烠PU浣跨敤鐜囥
2銆佹煡鐪嬬鍙e強澶栬仈鎯呭喌鏌ョ湅絝鍙e紑鏀劇姸鎬佸強澶栬仈鎯呭喌錛屽彂鐜頒富鏈哄瓨鍦ㄩ檶鐢熷栬仈琛屼負銆傚硅ュ栭儴鍦板潃榪涜屾煡璇㈠彂鐜板睘浜庡浗澶栧湴鍧錛岃繘涓姝ョ『瀹氳ヨ繘紼嬩負鎮舵剰鎸栫熆榪涚▼錛氬畾浣嶆寲鐭胯繘紼嬪強鍏跺畧鎶よ繘紼婸ID鎸栫熆鐥呮瘨kdevtmpfsi鍦ㄨ繍琛岃繃紼嬩腑涓嶄粎浼氫駭鐢熻繘紼媖devtmpfsi銆
6銆佹煡鐪媟edis鏃ュ織閫氳繃鏌ョ湅redis閰嶇疆鏂囦歡/etc/redis.conf鍙戠幇鏃ュ織鍔熻兘鏈寮鍚銆
7銆佹煡鎵炬晱鎰熸枃浠跺彂鐜癮uthorized_keys鏂囦歡銆
8銆佹煡鐪媠sh鏃ュ織鏂囦歡鏌ョ湅ssh鏃ュ織鏂囦歡錛屽彂鐜板ぇ閲忕櫥闄嗙棔榪逛互鍙婂叕閽ヤ笂浼犵棔榪廣
㈣ 璁板綍涓嬈NAS琚玿mrig鎸栫熆鐥呮瘨鍏ヤ鏡鐨勭粡鍘
```html銆愯︽儠錛丯AS閬閬噚mrig鎸栫熆鐥呮瘨鍏ヤ鏡璁般
涓寮鍦哄氨緇欎釜璀﹀憡錛浣跨敤鎵嬫満BT涓嬭澆綆$悊杞浠舵椂瑕佽皚鎱庯紒</
鑳屾櫙錛氫竴鍙板叏鍔熻兘涓繪満N5105閰8GB鍐呭瓨錛岃繍琛屽湪PVE鉶氭嫙鏈轟笂錛屼綔涓篘AS錛孫penWRT璐熻矗璺鐢憋紝OMV鎵胯澆鐫NAS鐨勫伐浣溿備笅杞藉伐鍏烽夌敤浜唓bittorrent錛屽畠闅愯棌鍦∣MV鐨勫簢鎶や笅銆
浜嬫儏鐨勭獊鍙橈細CPU鍗犵敤鐖嗚〃錛岀枒浜戞誕鐜</
6鏈7鏃ワ紝鎴戜緥琛屾鏌PVE鍚庡彴錛孫MV鐨凜PU浣跨敤鐜囩珶鐒舵弧杞斤紝榪樹互涓烘槸PT浠誨姟鎵鑷淬傜劧鑰岋紝鎵撳紑qbittorrent鍚庡彴錛屽嵈涓嶈佷換浣曟椿璺冧換鍔★紝鍙鏄闆舵槦鐨勪笂浼犲崰鐢ㄤ簺璁稿甫瀹姐傞偅涓鍒伙紝鎴戝療瑙夊埌浜嗕笉瀵誨父銆
娣卞叆鎺㈢┒錛鐥呮瘨鐨勪吉瑁呬笌鍙戠幇</
鐧誨綍OMV鍚庡彴錛屽彂鐜板悕涓簒mrig鐨勮繘紼嬬嫭鍗燙PU銆傜粡榪囩櫨搴︽悳緔錛屾垜鎰忚瘑鍒拌繖鍙鑳芥槸鐥呮瘨錛岃繀閫熸墽琛屼簡kill鍛戒護錛屽彲鎯滃お鍖嗗繖錛屽繕璁版埅鍥句綔涓鴻瘉鎹銆傦紙kill鉶藉揩錛屼絾瑕侀槻鎮d簬鏈鐒</錛
鎺ョ潃錛屾垜灞曞紑浜嗘繁搴︹滄秷姣掆濊屽姩錛榪借釜鐥呮瘨瓚寵抗</
棣栧厛錛岄氳繃top -c鎵懼埌浜嗙棶姣掓枃浠剁殑鈃忚韓涔嬪勶紝鏋滄柇鍒犻櫎銆傜劧鍚庯紝浠旂粏鎼滅儲鍙鑳界殑鍚庨棬錛屽彂鐜伴檶鐢熷叕閽ユ綔鍏ヤ簡~/.ssh/authorized_keys錛寏/.profile鏂囦歡涔熼伃鍙椾簡綃℃敼錛屾剰鍛崇潃姣忔$櫥褰曢兘鍙鑳芥垚涓虹棶姣掔殑甯鍑躲傛棩蹇楅噷娌℃湁澶栫綉鐧誨綍鐨勮釜榪癸紝瀹氭椂浠誨姟涔熸棤寮傛牱錛岄棶棰樻潵浜嗭紝鐥呮瘨鏄濡備綍鎮勬棤澹版伅鍦板惎鍔ㄧ殑鍛?
瀵繪壘鐥呮瘨鐪熷嚩鐨勭嚎緔</
緋葷粺鏃ュ織鎴愪簡鎴戣拷韙鐨勭嚎緔㈠疂搴擄紝涓鏉″叧閿璁板綍鎻紺轟簡鐪熺浉錛歲bittorrent浠庝竴涓鍦板潃涓嬭澆騫舵墽琛屼簡涓涓鑴氭湰錛岃繖涓鑴氭湰涓嬭澆浜嗘寲鐭胯蔣浠跺苟鍚鍔ㄤ簡榪涚▼銆傝繖璁╂垜鎬鐤戞槸qbittorrent鐨勬紡媧烇紝浣嗗紑婧愯蔣浠剁殑鍙淇″害璁╂垜璐ㄧ枒鍙︽湁韞婅販銆
娣卞叆鎸栨帢錛屾垜鍦╭b鐨勫悗鍙版壘鍒頒簡絳旀堬細縐嶅瓙涓嬭澆鑳屽悗鐨勭樺瘑</
鍘熸潵錛屾瘡嬈$嶅瓙涓嬭澆瀹屾垚鏃訛紝qbittorrent浼氳嚜鍔ㄦ墽琛屼竴孌典唬鐮侊紝涓嬭澆騫惰繍琛屾寲鐭胯剼鏈銆傝繖灝辨剰鍛崇潃錛屾瘡涓鍦轟笅杞介兘鍙鑳借Е鍙戜竴鍦烘棤鎰忚瘑鐨勬寲鎺樻椿鍔錛
鏈鍚庣殑鐤戦棶錛鐥呮瘨濡備綍娼滃叆鐨</
鎴戝洖鎯寵搗鏉ワ紝6鏈3鏃ユ垜鏇懼皾璇曚嬌鐢ㄦ墜鏈虹$悊qb錛岄偅涓ゅぉ鎴戣瘯鐢ㄤ簡涓ゆ捐繙紼嬬$悊宸ュ叿錛屽畠浠鍙鑳芥槸鐥呮瘨鐨勯氶亾銆備絾鐜板湪錛屾垜涓嶆効鍐嶈拷鏌ュ叿浣撴槸鍝嬈懼簲鐢錛屾瘯絝燂紝鐧藉珫鐢靛獎鍚庯紝璁╂垜浠樿垂璐涔拌蔣浠跺彲涓嶆槸鎴戠殑椋庢牸銆
鎬葷粨錛氫俊浠諱笌璀︽儠鐨勫鉤琛</
鎶樿吘褰掓姌鑵撅紝閫夋嫨寮婧愪笉浠h〃鍙浠ュ畬鍏ㄤ俊浠匯傚湪鎼寤哄跺涵褰遍煶涓蹇冩椂錛屾垜浠闇瑕佹洿鍔犺皚鎱庯紝閬垮厤璁╂潵鍘嗕笉鏄庣殑杞浠剁$悊鏍稿績璁懼囥傛潈闄愭帶鍒跺拰浣跨敤root鐢ㄦ埛璋ㄦ厧琛屼簨鏄蹇呴』鐨勩
鏈熷緟鏇村氬畨鍏ㄥ彲闈犵殑寮婧愰」鐩錛岃╂垜浠鑳芥洿瀹夊績鍦頒韓鍙楃戞妧甯︽潵鐨勪究鍒┿傝嚦浜庨偅孌祍h鏂囦歡鐨勮︽儏錛屾儕蹇冨姩欖勶紝璇︽儏璇瘋嚜琛屾煡鐪嬮檮鍥撅紝閾炬帴灝卞厤浜嗐傦紙鐐瑰嚮鍥劇墖錛屾彮闇查殣鈃忕殑鎮愭</錛
```
㈤ LTC挖礦軟體cgminer內有木馬怎麼辦
你這個軟體就說明帶有木馬呀
Trojan一詞的特洛伊木馬本意是特洛伊的,指特洛伊木馬,是木馬計的故事
如果電腦中了木馬建議盡快殺毒以免造成系統問題
可以先做一次全盤殺毒
然後針對性的:
騰訊電腦管家--工具箱--木馬剋星
最後開啟實時防毒保護。
㈥ 電腦中了挖礦病毒
方法/步驟
首先,如果是菜鳥寫出的病毒,大家可以太任務管理器中,找到該文件路徑,直接終結進程樹,或直接找到路徑刪除即可。
2/6
第二,如果對方技術夠本,我們很難終結進程,那麼,我們可以下載一個電腦管家,現在的電腦管家也增大了挖礦病毒的掃描率,如果查找到直接清理即可。
3/6
第三,如果電腦管家也無法搞定那麼,我們可以avast查殺,這個程序在殺毒方面,簡直是第一,對於挖礦病毒來說,更是猶如利劍。
4/6
第四,如果使用avast之後,我們還懷疑電腦有挖礦病毒的話,我們先打開進程手動把文檔路徑放到隔離區。
5/6
第五,在放到隔離區之後,我們使用avast的放鬆以供分析,然後發給avast的工作員工,備注懷疑是挖礦病毒,對方給我們人工分析,如果是,對方也會幫我們刪除。
6/6
第六,如果在專業堅定之後,我們還有所懷疑的話,如果不是大牛,那麼,大舅就需要重裝電腦了,畢竟,一裝百物清。
網路經驗:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望採納謝謝(≧∇≦)
㈦ 手機如何清除挖礦木馬
下載殺毒軟體,比如手機安全衛士,進行殺毒清理,然後重啟手機就可以了。
㈧ 2021-11-04 挖礦病毒導致 Cpu佔用率 100% 致使伺服器超負荷報警
最近測試伺服器與正式伺服器接連中了挖礦病枯扒沖毒,
導致 linux 伺服器 CPU佔用率100%,白給人打了好幾天工。
記錄一下解決問題的操作流程
一共遇到兩種情況,查看相關文章並且成功解決
兩次問題的情況不太一樣此粗,分別說明
伺服器遇到這兩次中挖礦病毒事件暫時是解決了。從事移動端,並非運維,都是查各種資料看的。至於後期應該怎麼避免再次遭受攻擊沒殲.再學習研究. 改BUG去了.
㈨ PC內驚現挖礦病毒,殺軟對它無能為力 怎麼辦
使用電腦管家工具箱中的頑固木馬剋星來查殺一下,電腦管家的頑固木馬剋星專門為
普通殺軟無法清除或者根本檢測不到的惡意威脅而設計,採用了非常強力的查殺引
擎,所以可以清除各種頑固的木馬病毒