如何排查伺服器是否有挖礦行為

㈠ 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。

㈡ 網監如何查挖礦

1、網監通過挖礦當地的伺服器IP。
2、找到挖礦的地點。
3、然後找到挖礦指定的公司總部。
4、讓公司總部填入檔案檔案。

㈢ 中挖礦病毒的表現

故障現象：使用過程中，發現經常有服務無故關閉，登錄伺服器經檢查，發現CPU使用率達到100%。在檢測異常進程中，未發現CPU使用率異常的進程（使用 top、htop 以及 ps -aux 進行檢查），於是報障。

檢測過程：

1.找到他shell腳本對應目錄把目錄或者文件刪除。

2.檢查定時任務是否存在挖礦木馬文件在定時任務中，避免定時運行挖礦木馬文件。

3.添加hosts挖礦病毒訪問對應網站，避免二次訪問並下載。

4.排查liunx命令是否損壞，如損壞下載"procps-3.2.8"並編譯，恢復top等系列命令。

5.檢測進程是否異常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的網站程序是否存在漏洞，並排查下nginx或者apache日誌審查漏洞所在處。

7.排查ssh登錄日誌。

8.把ssh登錄切換成秘鑰登錄。

9.重啟伺服器，檢查是否進程是否正常。

㈣ 分析與清除伺服器上的挖礦程序

伺服器運行突然變慢，CPU和顯存佔用異常，疑似遭遇挖礦攻擊。接下來，我們將從分析和消除兩個步驟來處理這個問題。

首先，通過top或htop命令，發現PID為3701992的進程佔用CPU高達4004%，顯示異常。進一步觀察，該進程擁有大量子進程，這是挖礦程序典型特徵。檢查伺服器對外網路連接，發現在本地活動的進程與美國IP 74.119.193.47有交互。

深入調查，發現在/home/ubuntu/.cache目錄下的upd程序每隔一分鍾執行一次，可能是挖礦腳本。查看自啟動服務，未發現異常。挖礦腳本所在的目錄中有可疑的可執行程序和腳本。其中，'upd'腳本讀取進程ID並發送信號，'run'腳本則負責重啟挖礦進程。確認h32和h64是挖礦程序後，我們有了確鑿證據。

在清理階段，首先移除定時任務，刪除所有挖礦程序和腳本，包括.cache下的文件。確保所有挖礦進程已終止，CPU使用率恢復正常。為了阻止進一步入侵，將攻擊者IP加入防火牆黑名單，確保SSH連接的暢通。

安全起見，更改伺服器用戶密碼是必要的。但要徹底防止挖礦，還需定期更新系統，安裝殺毒軟體，使用復雜密碼，提升防火牆設置，關閉不必要的服務埠，限制文件系統訪問，並持續監控伺服器活動。

通過上述分析和清除，雖然暫時解決了當前問題，但防範措施的全面實施是防止未來再次遭受挖礦攻擊的關鍵。

㈤ 伺服器被檢測出挖礦

有位朋友說，他伺服器使用的好好的，服務商突然封了他伺服器，說是被檢測出挖礦，這位朋友一臉懵「我開游戲的，挖什麼礦」。突然地關停伺服器導致這位朋友損失慘重，那麼為什麼會被檢測出挖礦，以及怎麼處理呢？感興趣的話就繼續往下看吧~

遇到以上問題，需要先找伺服器商對其說明實際情況，配合他們排查，基本上就是中了挖礦病毒。

最簡單的方法就是重裝系統，但是系統盤數據都會清空，這種辦法適用於伺服器里沒什麼需要備份的文件。如果選擇重裝系統，需要把自己的文件掃毒一遍確認安全後再導入伺服器。

但是伺服器里如果有很多重要的文件還有比較難配置的環境，那就需要排查刪除挖礦程序，全盤掃毒，刪除可疑文件，一個個修復病毒對系統的修改。

防範建議：

1.盡量不要使用默認密碼和埠，改一個比較復雜的密碼

2.可以使用寶塔面板登陸伺服器

3.系統自帶的防火牆、安全防護都不要關閉

㈥ 分析與清除伺服器上的挖礦程序

伺服器運行時遭遇了異常，CPU佔用率飆升且顯存佔用異常，初步懷疑是挖礦程序入侵。針對這一問題，本文將詳細分析並清理此類惡意程序。

首先，通過top或htop命令，我們發現PID為3701992的進程佔用CPU高達4004%，顯示出異常。其進程特徵表現為擁有大量子進程，這是挖礦程序典型的表現。

挖礦程序通常需要與外界通信，查看伺服器網路連接，該進程與美國IP地址74.119.193.47有交互，進一步確認了挖礦行為。在/home/ubuntu/.cache/目錄下，發現了名為upd的定時任務，每分鍾運行一次，疑似挖礦腳本的源頭。

檢查其他自啟動服務和腳本並未發現異常，但在挖礦腳本所在的目錄中，存在可疑的可執行程序和腳本，如run、a和x，它們的文件內容顯示了挖礦程序的運行邏輯，如啟動新的挖礦進程，寫入進程ID，以及創建定時任務等。

為了清除挖礦程序，首先，刪除所有涉及的腳本和程序，包括.cache目錄中的文件。接著，利用top命令終止異常進程，使得CPU使用率恢復正常。防火牆方面，將可疑IP加入黑名單，防止再次被入侵。同時，確保防火牆允許SSH連接以保持伺服器管理。

為了徹底防護，建議定期修改伺服器密碼，保持系統補丁更新，安裝殺毒軟體，使用強密碼，增強防火牆設置，關閉不必要的服務埠，並限制文件系統的訪問許可權。這些措施將有助於預防未來的挖礦行為。

㈦ 網警怎麼查單位電腦挖礦

每部電腦挨個排查。
挖礦軟體會佔用電腦的大量運算資源和電力資源，而且會引起主管部門的關注。區域網內有電腦被安裝了挖礦軟體是一件讓人很頭疼的事情，對成百上千台電腦一台一台的進行排查簡直就和大海撈針一樣，需要耗費大量的時間和人力。因為區域網出口做了NAT網路地址轉換，上級部門只能檢測到公司的公網IP，所以只能靠公司內部的網管人員來排查具體的終端了。最笨的辦法就是一台電腦一台電腦的檢查，通過檢查程序列表和任務管理器來找挖礦程序。
電腦挖礦通常是指比特幣挖礦機，就是用於賺取比特幣的電腦。這類電腦一般有專業的挖礦晶元，多採用燒顯卡的方式工作，耗電量較大。用戶用個人計算機下載軟體然後運行特定演算法，與遠方伺服器通訊後可得到相應比特幣，是獲取比特幣的方式之一。