linux挖礦病毒命令不可用

1. linux被挖礦重裝系統能清除嗎

可以的
xmrig是一種挖礦病毒,通常會搶占伺服器的資源,導致伺服器超負荷運轉,出現服務宕機的情況。

2. linux系統中病毒怎麼辦

1、最簡單有效的方法就是重裝
2、要查的話就是找到病毒文件然後刪除；中毒之後一般機器cpu、內存使用率會比較高，機器向外發包等異常情況，排查方法簡單介紹下：
#top命令找到cpu使用率最高的進程，一般病毒文件命名都比較亂
#可以用ps aux 找到病毒文件位置
#rm -f 命令刪除病毒文件
#檢查計劃任務、開機啟動項和病毒文件目錄有無其他可以文件等
3、由於即使刪除病毒文件不排除有潛伏病毒，所以最好是把機器備份數據之後重裝一下。

3. 中挖礦病毒的表現

故障現象：使用過程中，發現經常有服務無故關閉，登錄伺服器經檢查，發現CPU使用率達到100%。在檢測異常進程中，未發現CPU使用率異常的進程（使用 top、htop 以及 ps -aux 進行檢查），於是報障。

檢測過程：

1.找到他shell腳本對應目錄把目錄或者文件刪除。

2.檢查定時任務是否存在挖礦木馬文件在定時任務中，避免定時運行挖礦木馬文件。

3.添加hosts挖礦病毒訪問對應網站，避免二次訪問並下載。

4.排查liunx命令是否損壞，如損壞下載"procps-3.2.8"並編譯，恢復top等系列命令。

5.檢測進程是否異常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的網站程序是否存在漏洞，並排查下nginx或者apache日誌審查漏洞所在處。

7.排查ssh登錄日誌。

8.把ssh登錄切換成秘鑰登錄。

9.重啟伺服器，檢查是否進程是否正常。

4. Linux系統被Carbon挖礦病毒入侵，殺掉之後過一段時間又起來了，有誰遇到過這種情況啊

這種病毒騰訊安全提到過
可以去下載安裝一個騰訊御點
打開之後，使用裡面的病毒查殺功能，直接就可以查殺這種電腦病毒了

5. 伺服器上如何清除NrsMiner挖礦病毒

挖礦病毒完整清除過程如下，請在斷網情況下進行：

1.停止並禁用Hyper-VAccess Protection Agent Service服務；

2.刪除C:Windowssystem32NrsDataCache.tlb；

3.刪除C:.dll，若刪除失敗，可重命名該文件為其他名稱；

4.重啟計算機；

5.刪除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目錄；

6.刪除C:Windowssystem32SecUpdateHost.exe。

7.到微軟官方網站下載對應操作系統補丁，下載鏈接如下：https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

8.安裝國內主流殺毒軟體，及時更新至最新病毒特徵庫。

6. 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。

7. 如何用Linux伺服器挖礦教程

Linux伺服器挖礦，只需要兩步
打開 網站，輸入手機號，選擇你要使用多少CPU來挖礦，默認為使用50%的CPU進行挖礦，點擊生成你的專屬命令並復制
進入控制台粘貼命令，並點擊運行
就是這么操作簡單。

8. 伺服器被rshim挖礦病毒攻擊後 HugePages_Total 透明大頁怎麼都清不掉 一直佔用內存 球球

問題定位及解決步驟：

1、free -m 查看內存使用狀態 ，發現free基本沒了。--> 懷疑是服務有內存泄漏，開始排查

2、使用top命令觀察，開啟的服務佔用內存量並不大，且最終文檔在一個值，且服務為java應用，內存並沒達到父jvm設置上限。按top監控佔用內存排序，加起來也不會超過物理內存總量。查看硬碟使用量，佔用20%。基本排除虛擬內存佔用過大的原因。--->排除服務內存泄漏因素，懷疑mysql和nginx，開始排查

3、因為top命令看 mysql佔用內存也再可控范圍，是否存在connection佔用過多內存，發現並不會，設置最大連接數為1000，最多也不會超過幾M。 nginx佔用一直非常小。但每次最先被kill的基本都是nginx進程。所以排查，但發現無非就是openfiles數量啥的調整。發現也一切正常。且之前niginx可以正常使用的。

4、最為費解的就是 通過free -m 查看的時候 基本全是used，cache部分很少，free基本沒有。但top上又找不到有哪些進程佔用了內存。無解

5、注意到有兩個進程雖佔用內存不多，但基本耗光了100%的cpu。開始想著佔cpu就佔了，沒占內存，現在是內存不不夠導致進程被kill的，就沒注意這點。

6、實在搞不定，重啟伺服器，重啟了所有服務，服務暫時可用，回家。在路上的時候發現又崩了。忐忑的睡覺。

7、早上起來繼續看，這次留意注意了下那兩個佔用高cpu的進程，kdevtmpfsi 和 networkservice。本著看看是啥進程的心態，網路了下。真相一目瞭然，兩個挖礦病毒。

突然後知後覺的意識到錯誤原因：

1、cpu佔用率高，正常服務使用cpu頻率較高的服務最容易最內存超標。（因為在需要使用cpu時沒cpu資源，內存大量佔用，服務瞬間崩潰），然後看top發現剛剛已經佔用內存的進程已經被kill了，所以沒發現內存有高佔用的情況。
2、後面的應用繼續使用cpu時也會發生類似情況，倒是服務一個一個逐漸被kill。

問題點基本定位好了，解決問題就相對簡單很多：
通過網路，google，常見的病毒清除步驟基本都能解決。這兩個挖礦病毒很常見，大致記錄下要點。可能所有病毒都會有這些基礎操作。

① 首先，查看當前系統中的定時任務：crontab -l
我伺服器上有四個定時下載任務 通過wget 和 curl 下載病毒文件，把異常的刪掉。要不然刪了病毒文件還是會下載下來
crontab -r，全部刪除命令（或根據需求刪除定時任務）

② 查找病毒文件 可以全部模糊搜索 清除， 但病毒文件基本都用了chattr +i命令 使用chattr -i filename 後再使用rm -f filename 。可刪除

③ kill 病毒進程，但注意kill了可能馬上就重啟了。因為有守護進程，需要把病毒進程的守護進程也kill掉

④ 檢查是否root用戶被攻擊，可能系統配置信息被更改。

⑤ 最好能理解病毒腳本，通過看代碼看它做了些什麼。針對腳本取修復系統。

9. 挖礦病毒怎麼排查

登錄系統查看任務管理器，查看佔用內存較大且無法關閉的進程。進程上點擊滑鼠右鍵，打開文件位置（先要在文件夾選項中選擇顯示隱藏文件及操作系文件）。此時你可能會看到有一個Systmss.exe進程和模仿操作系統的svchost.exe進程這里還可以看到一個2.bat文件，右鍵編輯打開這個文件查看，可查看到惡意進程與哪個挖礦組織通信。

通過查看系統操作日誌可分析出病毒的來源、啟動時間等信息，一般原因可能是未關閉3389埠且使用了弱密碼導致黑客遠程登錄上次病毒。

根除病毒：將病毒可執行文件Systmss.exe重命名為Systmss.exe1使病毒無法執行，此時可從任務管理器停止進程。打開注冊表編輯器刪除HKEY_LOCAL_整個目錄。

如果是Linux系統請參考：網頁鏈接

10. 關於可能病毒造成任務管理器不可用的問題

教你手動清除木馬病毒
1 、在安全模式或純DOS模式下清除病毒
當計算機感染病毒的時候，絕大多數的感染病毒的處理可以在正常模式下徹底清除病毒，這里說的正常模式准確的說法應該是實模式（Real Mode），這里通俗點說了。其包括正常模式的 Windows 和正常模式的 Windows 下?"MS-DOS 方式 " 或 " 命令提示符 " 。但有些病毒由於使用了更加隱匿和狡猾的手段往往會對殺毒軟體進行攻擊甚至是刪除系統中的殺毒軟體的做法，針對這樣的病毒絕大多數的殺毒軟體都被設計為在安全模式可安裝、使用、執行殺毒處理。
在安全模式（Safe Mode）或者純DOS下進行清除清除時，對於現在大多數流行的病毒，如蠕蟲病毒、木馬程序和網頁代碼病毒等，都可以在安全模式下徹底清除的，不必要像以前那樣必須要用軟盤啟動殺毒；但對於一些引導區病毒和感染可執行文件的病毒才需要在純 DOS下殺毒（建議用干凈軟盤啟動殺毒）。而且，當計算機原來就感染了病毒，那就更需要在安裝反病毒軟體後（升級到最新的病毒庫），在安全模式（Safe Mode）或者純DOS下清除一遍病毒了！
2 、帶毒文件在\Temporary Internet Files目錄下
由於這個目錄下的文件，Windows 會對此有一定的保護作用，所以對這個目錄下的帶毒文件即使在安全模式下也不能進行清除，對於這種情況，請先關閉其他一些程序軟體，然後打開 IE ，選擇IE工具欄中的 " 工具"\"Internet 選項 "，選擇 " 刪除文件 " 刪除即可，如果有提示" 刪除所有離線內容 "，也請選上一並刪除。
3 、帶毒文件在 \_Restore 目錄下，*.cpy 文件中
這是系統還原存放還原文件的目錄，只有在裝了Windows Me/XP 操作系統上才會有這個目錄，由於系統對這個目錄有保護作用。
對於這種情況需要先取消" 系統還原 " 功能，然後將帶毒文件刪除，甚至將整個目錄刪除也是可以的。
4 、帶毒文件在.rar 、.zip 、.cab 等壓縮文件中
對於絕大多數的反病毒軟體來說，現在的查殺壓縮文件中病毒的功能已經基本完善了，單是對於一些特殊類型的壓縮文件或者加了密碼保護的壓縮文件就可能直接清除了。
要清除壓縮文件中的病毒，建議解壓縮後清除，或者藉助壓縮工具軟體的外掛殺毒程序的功能，對帶毒的壓縮文件進行殺毒。
5 、病毒在引導區或者SUHDLOG.DAT或SUHDLOG.BAK文件中
這種病毒一般是引導區病毒，報告的病毒名稱一般帶有 boot 、 wyx 等字樣。如果病毒只是存在於移動存儲設備（如軟盤、快閃記憶體檔、移動硬碟）上，就可以藉助本地硬碟上的反病毒軟體直接進行查殺；
如果這種病毒是在硬碟上，則需要用干凈的可引導盤啟動進行查殺。對於這類病毒建議用干凈軟盤啟動進行查殺，不過在查殺之前一定要備份原來的引導區，特別是原來裝有別的操作系統的情況，如日文Windows 、Linux 等。 如果沒有干凈的可引導盤，則可使用下面的方法進行應急殺毒：
(1) 在別的計算機上做一張干凈的可引導盤，此引導盤可以在Windows 95/98/ME 系統上通過 " 添加／刪除程序 " 進行製作，但要注意的是，製作軟盤的操作系統須和自己所使用的操作系統相同；
(2) 用這張軟盤引導啟動帶毒的計算機，然後運行以下命令：
A:\>fdisk/mbr
A:\>sys a: c:
針對 NT 構架的操作系統可首先安裝「管理員控制台」，安裝後使用管理員控制台，然後分別執行 fixmbr （恢復主引導記錄）和 fixboot （恢復啟動盤上的引導區）命令對引導區及啟動信息進行修復。
如果帶毒的文件是在 SUHDLOG.DAT 或 SUHDLOG.BAK 文件中，那麼直接刪除即可。這是系統在安裝的時候對硬碟引導區做的一個備份文件，一般作用不大，病毒在其中已經不起作用了。
6 、帶毒文件在一些郵件文件中，如 dbx 、 eml 、 box 等
絕大多數的防毒軟體可以直接檢查這些郵件文件中的文件是否帶毒，對於郵箱中的帶毒的信件，可以根據用戶的設置殺毒或刪除帶毒郵件，但是由於此類郵箱的復合文件結構，易出現殺毒後的郵箱依舊可以檢測到病毒情況，這是由於沒有壓縮郵箱進行空間釋放的原因導致的，您可以嘗試在 Outlook Express 中選擇「工具」 — 〉「選項」 — 〉「維護」 — 〉「立即清除」 — 〉「壓縮」
7 、文件中有病毒的殘留代碼
這種情況比較多見的就是帶有 CIH 、Funlove 、宏病毒（包括 Word 、 Excel 、 Powerpoint 和 Wordpro 等文檔中的宏病毒）和個別網頁病毒的殘留代碼，通常防毒軟體對這些帶有病毒殘留代碼的文件報告的病毒名稱後綴通常是 int 、 app 等結尾，而且並不常見，如 W32/FunLove.app 、W32.Funlove.int 。一般情況下，這些殘留的代碼不會影響正常程序的運行，也不會傳染，如果需要徹底清除的話，要根據各個病毒的實際情況進行清除。
8 、文件錯誤
這種情況出現的並不多，通常是由於某些病毒對系統中的關鍵文件修改後造成的，異常的文件無法正常使用，同時易造成別的系統錯誤，針對此種情況建議進行修復安裝的方法恢復系統中的關鍵文件。
9 、加密的文件或目錄
對於一些加密了的文件或目錄，請在解密後再進行病毒查殺。
10 、共享目錄殺毒
這里包括兩種情況：本地共享目錄和網路中遠程共享目錄（其中也包括映射盤）。
遇到本地共享的目錄中的帶毒文件不能清除的情況，通常是區域網中別的用戶在讀寫這些文件，殺毒的時候表現為無法直接清除這些帶毒文件中的病毒，如果是有病毒在對這些目錄在寫病毒操作，表現為對共享目錄進行清除病毒操作後，還是不斷有文件被感染或者不斷生成病毒文件。以上這兩種情況，都建議取消共享，然後針對共享目錄進行徹底查殺，恢復共享的時候，注意不要開放太高的許可權，並對共享目錄加設密碼。對遠程的共享目錄（包括映射盤）查殺病毒的時候，首先要保證本地計算機的操作系統是干凈的，同時對共享目錄也有最高的讀寫許可權。如果是遠程計算機感染病毒的話，建議還是直接在遠程計算機進行查殺病毒。
特別的，如果在清除別的病毒的時侯都建議取消所有的本地共享，再進行殺毒操作。在平時的使用中，也應注意共享目錄的安全性，加設密碼，同時，非必要的情況下，不要直接讀取遠程共享目錄中的文件，建議拷貝到本地檢查過病毒後再進行操作。
11 、光碟等一些存儲介質
對於光碟上帶有的病毒，不要試圖直接清除，這是因為光碟上的文件都是只讀的原因導致的。同時，對另外一些存儲設備查殺病毒的，也需要注意其是否處於防寫或者密碼保護狀態