挖礦伺服器排查

Ⅰ 網警怎麼查單位電腦挖礦

每部電腦挨個排查。
挖礦軟體會佔用電腦的大量運算資源和電力資源，而且會引起主管部門的關注。區域網內有電腦被安裝了挖礦軟體是一件讓人很頭疼的事情，對成百上千台電腦一台一台的進行排查簡直就和大海撈針一樣，需要耗費大量的時間和人力。因為區域網出口做了NAT網路地址轉換，上級部門只能檢測到公司的公網IP，所以只能靠公司內部的網管人員來排查具體的終端了。最笨的辦法就是一台電腦一台電腦的檢查，通過檢查程序列表和任務管理器來找挖礦程序。
電腦挖礦通常是指比特幣挖礦機，就是用於賺取比特幣的電腦。這類電腦一般有專業的挖礦晶元，多採用燒顯卡的方式工作，耗電量較大。用戶用個人計算機下載軟體然後運行特定演算法，與遠方伺服器通訊後可得到相應比特幣，是獲取比特幣的方式之一。

Ⅱ 分析與清除伺服器上的挖礦程序

伺服器運行時遭遇了異常，CPU佔用率飆升且顯存佔用異常，初步懷疑是挖礦程序入侵。針對這一問題，本文將詳細分析並清理此類惡意程序。

首先，通過top或htop命令，我們發現PID為3701992的進程佔用CPU高達4004%，顯示出異常。其進程特徵表現為擁有大量子進程，這是挖礦程序典型的表現。

挖礦程序通常需要與外界通信，查看伺服器網路連接，該進程與美國IP地址74.119.193.47有交互，進一步確認了挖礦行為。在/home/ubuntu/.cache/目錄下，發現了名為upd的定時任務，每分鍾運行一次，疑似挖礦腳本的源頭。

檢查其他自啟動服務和腳本並未發現異常，但在挖礦腳本所在的目錄中，存在可疑的可執行程序和腳本，如run、a和x，它們的文件內容顯示了挖礦程序的運行邏輯，如啟動新的挖礦進程，寫入進程ID，以及創建定時任務等。

為了清除挖礦程序，首先，刪除所有涉及的腳本和程序，包括.cache目錄中的文件。接著，利用top命令終止異常進程，使得CPU使用率恢復正常。防火牆方面，將可疑IP加入黑名單，防止再次被入侵。同時，確保防火牆允許SSH連接以保持伺服器管理。

為了徹底防護，建議定期修改伺服器密碼，保持系統補丁更新，安裝殺毒軟體，使用強密碼，增強防火牆設置，關閉不必要的服務埠，並限制文件系統的訪問許可權。這些措施將有助於預防未來的挖礦行為。

Ⅲ 分析與清除伺服器上的挖礦程序

伺服器運行突然變慢，CPU和顯存佔用異常，疑似遭遇挖礦攻擊。接下來，我們將從分析和消除兩個步驟來處理這個問題。

首先，通過top或htop命令，發現PID為3701992的進程佔用CPU高達4004%，顯示異常。進一步觀察，該進程擁有大量子進程，這是挖礦程序典型特徵。檢查伺服器對外網路連接，發現在本地活動的進程與美國IP 74.119.193.47有交互。

深入調查，發現在/home/ubuntu/.cache目錄下的upd程序每隔一分鍾執行一次，可能是挖礦腳本。查看自啟動服務，未發現異常。挖礦腳本所在的目錄中有可疑的可執行程序和腳本。其中，'upd'腳本讀取進程ID並發送信號，'run'腳本則負責重啟挖礦進程。確認h32和h64是挖礦程序後，我們有了確鑿證據。

在清理階段，首先移除定時任務，刪除所有挖礦程序和腳本，包括.cache下的文件。確保所有挖礦進程已終止，CPU使用率恢復正常。為了阻止進一步入侵，將攻擊者IP加入防火牆黑名單，確保SSH連接的暢通。

安全起見，更改伺服器用戶密碼是必要的。但要徹底防止挖礦，還需定期更新系統，安裝殺毒軟體，使用復雜密碼，提升防火牆設置，關閉不必要的服務埠，限制文件系統訪問，並持續監控伺服器活動。

通過上述分析和清除，雖然暫時解決了當前問題，但防範措施的全面實施是防止未來再次遭受挖礦攻擊的關鍵。

Ⅳ 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。