怎麼看電腦是否植入了挖礦代碼
㈠ 挖礦會被電信公司發現
不確定,中國電信江蘇分公司校園門戶網站(pre.f-young.cn)提供下載的「天翼校園客戶端」被植入後門病毒,該病毒可接受黑客遠程指令,利用中毒電腦刷廣告流量,同時也會釋放「門羅幣」挖礦者病毒進行挖礦。用戶在安裝「天翼校園客戶端」之後,就會在安裝目錄中自動釋放speedtest.dll文件,也就是病毒的本體,所有執行下載、釋放其他病毒模塊等操作都由這個文件進行。廣告刷量模塊被執行後,它會創建一個隱藏的IE窗口,然後開始讀取雲端指令,在後台模擬用戶操作滑鼠、鍵盤點擊刷廣告。為了讓用戶不察覺這一情況,還屏蔽了音效卡播放廣告頁面中的聲音。
另外的病毒挖礦模塊,在分析之後發現所挖的是「門羅幣」,這是一種類似於「比特幣」的數字虛擬貨幣,每杖價格約500元。當病毒模塊開始「挖礦」時,計算機CPU資源佔用量明顯飆升,導致電腦性能變差,發熱量上升,同時電腦風扇也會高速運行,電腦噪音也會隨之增加。最後還發現,一款簽名為「中國電信股份有限公司」農歷日歷(Chinese Calendar)同樣存在該後門病毒。一般來說,像電信這樣大型企業公司的簽名應該不會存在什麼問題,這次被植入病毒確實讓人覺得有些奇怪,但究竟是怎麼被植入的,目前還沒有結果。
比特幣介紹:
一、比特幣的發行和交易的完成是通過挖礦來實現的,它以一個確定的但不斷減慢的速率被鑄造出來。每一個新區塊都伴隨著一定數量從無到有的全新比特幣。境外很多人以挖礦為生,但是在境內是不允許的,目前有關部門對此內容採取嚴打態勢。在家裡利用電腦挖礦,如果沒有大量用電的情況下,一般不會被供電局調查;如果耗電比較嚴重,又或者是有偷電行為,就有可能被供電局調查。到時候就不僅僅是被罰款那麼簡單了,還有可能承擔刑事責任。
二、工業互聯網平台和智能設備成為網路威脅的重要目標。據國家工業信息安全發展研究中心監測,第二季度我國境內共有22個工業互聯網平台提供服務,針對這些工業互聯網平台的、來源於境外的網路攻擊事件共有656起,涉及北京、重慶、湖南、內蒙古等地區;新增工業控制系統漏洞115個,涉及羅克韋爾、西門子、施耐德電氣等品牌的71款產品;我國境內感染工業互聯網智能設備惡意程序的受控IP地址共有52.7萬余個,受控IP地址數量在1萬個以上的僵屍網路共有13個。
㈡ 伺服器被攻擊並植入kdevtmpfsi挖礦/病毒/木馬
MongoDB庫中的數據莫名其妙沒有了,發覺如下信息:
1、 top -d 5命令 ,查看系統負載情況、是否有未知進程,發現一個名為kdevtmpfsi的進程,經科普它是一個挖礦程序,會佔用伺服器高額的CPU、內存資源。如圖,CPU佔用率高達788.7%,而且是yarn用戶下:
2、 ps -ef |grep kdevtmpfsi 命令查看 該挖礦程序路徑:/tmp/kdevtmpfsi
3、 ps -ef |grep yarn 命令查看更多關於yarn相關進程信息(此時我的伺服器並沒有開啟yarn服務,如果有yarn的相關進程則可判斷是攻擊者開啟的進程),發現另外還有個kinsing進程,經科普kinsing進程是kdevtmpfsi的守護進程:
4、 netstat -lntupaa 命令查看是否有異常的ip,果然發現194.87.102.77這個陌生的ip,判斷是kdevtmpfsi的發出者:
5、經查詢該ip的所在國家是俄羅斯:
6、 find / -iname kdevtmpfsi 命令再次確定命令所在位置以便刪除:
7、 cd /tmp 進入相關目錄:
8、 rm -rf kdevtmpfsi 刪除kdevtmpfsi程序:
9、** kill -9 40422**殺掉kdevtmpfsi進程:
10、發現並沒殺掉所有kdevtmpfsi進程,再次查找yarn的相關進程(因為之前已確認病毒是在yarn下),果真還有kdevtmpfsi進程存在:
11、用命令 批量殺掉 相關進程:
12、刪除kinsing文件:
13、現在,已經把挖礦程序及相關進程刪除掉了,但是還有兩處沒做處理:
14、 crontab -l 命令先看看crontab的定時任務列表吧:
15、編寫刪除挖礦程序腳本 kill_kdevtmpfsi.sh :
16、新增 定時任務 並刪除攻擊者的挖礦定時任務:
17、 crontab -l命令 查看現在只有殺進程的定時任務了:
18、禁止黑客的IP地址。
最初安裝MongoDB時,並未設置密碼認證,存在漏洞,導致黑客通過漏洞攻擊伺服器,並在程序里植入木馬/病毒。單純的kill -9 id殺掉病毒進程是殺不徹底的,治標不治本,應該定時刪除病毒進程,禁止攻擊者IP,重新安裝系統或相關軟體。
經過幾天的觀察,伺服器運行正常,再沒有被黑客攻擊成功。
㈢ 電腦磁碟一直百分百佔用,是被植入挖礦了嗎
01關閉家庭組
控制面板–管理工具–服務– HomeGroup Listener和HomeGroup Provider禁用。
02關閉磁碟碎片整理、自動維護計劃任務
選中磁碟C-屬性–工具–對驅動器進行優化和碎片整理–優化–更改設置–取消選擇按計劃運行。
03關閉Windows Defender(視情況而定)
控制面板–Windows Defender –設置–實施保護-去掉勾和管理員–啟用 Windows Defender –去掉勾。
控制面板–管理工具–服務- Windows Defender Service禁用。
04關閉Windows Search
控制面板–管理工具–服務- Windows Search禁用。
05設置好 Superfetch 服務
控制面板–管理工具–服務– Superfetch -啟動類型–自動(延遲啟動)。
06清理Windows.old文件夾
C盤–右鍵–屬性-磁碟清理-選中以前的Windows 安裝復選框–確定清理。
㈣ 電腦挖礦違法嗎
電腦挖礦是違法的。網路挖礦,是計算機被植入的軟體程序,會通過特定演算法,在計算機上進行運算,運算完成後,自動得到特定結果,從而產生虛擬幣,這些虛擬幣可在第三方平台換算,獲得真實貨幣。金融機構和非銀行支付機構發現代幣發行融資交易違法違規線索的,應當及時向有關部門報告。
法律依據:《中華人民共和國刑法》第二百八十五條
【非法侵入計算機信息系統罪】違反國家規定,侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的,處三年以下有期徒刑或者拘役。
【非法獲取計算機信息系統數據、非法控制計算機信息系統罪】違反國家規定,侵入前款規定以外的計算機信息系統或者採用其他技術手段,獲取該計算機信息系統中存儲、處理或者傳輸的數據,或者對該計算機信息系統實施非法控制,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。
【提供侵入、非法控制計算機信息系統程序、工具罪】提供專門用於侵入、非法控制計算機信息系統的程序、工具,或者明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為而為其提供程序、工具,情節嚴重的,依照前款的規定處罰。
單位犯前三款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。
非法侵入計算機信息系統罪的構成要件有哪些
1、犯罪主體是一般主體;
2、犯罪的主觀方面是故意;
3、犯罪的對象是國家事務、國防建設、尖端科學技術領域的計算機信息系統;
4、客觀方面只要求有侵入計算機信息系統的行為,是行為犯。
㈤ 查到公司挖礦怎麼辦
最好舉報。
所謂網路「挖礦」,是指計算機被植入的軟體程序,會通過特定演算法,在計算機上進行運算。運算完成後,自動得到特定結果,從而產生虛擬幣,這些虛擬幣可在第三方平台換算,獲得真實貨幣。由於這種程序的非破壞性和隱蔽性,即使用戶電腦中毒也不會像勒索病毒一樣即時感知到。挖礦木馬只會潛伏在用戶的電腦中,定時啟動挖礦程序進行計算,大量消耗用戶電腦資源,導致用戶電腦性能變低,運行速度變慢,使用壽命變短,甚至燒壞電腦硬體。而且通過大量耗費被控友冊早電腦的CPU,GPU資源和電力資好雀源,持姿稿續不斷地挖取虛擬貨幣,並將這些虛擬貨幣轉至控制者處,從而提現牟取暴利,違反了法律。
㈥ C0594黑客組織的挖礦木馬攻擊如何防範
黑客組織C0594的挖礦木馬攻擊已經嚴重影響了數千個網站,安全威脅持續擴大。騰訊御見威脅情報中心監測結果顯示,C0594黑客組織通過利用黑帽工具Black Spider,對大量企業、機構及網站實施惡意挖礦攻擊。一旦用戶訪問被植入惡意挖礦木馬的網頁,他們的瀏覽器會變得異常卡頓,CPU使用率飆升至90%以上,對電腦性能造成嚴重影響,可能導致電腦性能下降,使用壽命縮短。
識別是否中招並非難事,只需檢查網站源碼,如果發現src="hxxp://a+.c0594.com/?e=5"這樣的可疑代碼,那很可能已經被挖礦木馬侵入。一旦發現問題,應立即刪除惡意代碼以防止進一步損害。
面對這樣的攻擊,被攻擊的網站和個人應積極採取措施,利用伺服器安全軟體進行風險掃描和站點監控,及時修復系統漏洞,以防止黑客進一步的侵害。確保網站和設備的安全,防止成為黑客的挖礦工具。