木馬挖礦案例
『壹』 什麼是挖礦木馬
就是會讓你電腦自動挖礦的病毒
殺毒軟體直接殺毒不就得了么
安裝個電腦管家到電腦上
然後使用病毒查殺,對著你的電腦殺毒就行了
『貳』 挖礦木馬是什麼
就是你電腦後台自行消耗顯卡與CPU資源的木馬病毒,這種木馬是看你電腦配置很高,後台自行挖礦,你一般看不出來,但是你顯卡或CPU佔用很高的。
『叄』 WannaMiner挖礦遇到木馬怎麼辦
這個木馬利用「永恆之藍」漏洞在區域網內攻擊傳播,將染毒機器構建成一個健壯的僵屍網路,支持內網自更新,長期潛伏在電腦中以挖取門羅幣。因普通個人電腦大多通過Windows安全更新和騰訊電腦管家等安全軟體修補過安全漏洞,基本不受WannaMiner影響。建議各企業用戶,如果發現疑似WannaMiner挖礦木馬,及時定位和隔離已中毒機器,可通過掃描26931埠判斷,如該埠開放則主機已被感染;如需修補內網所有未安裝補丁的電腦。建議全網安裝專業終端安全管理軟體,如騰訊御點,由管理員對全網進行批量殺毒和安裝補丁,避免造成不必要的損失。
『肆』 挖礦木馬,挖礦消耗計算機資源到底是在做什麼東西
『伍』 集後門木馬、挖礦腳本、勒索病毒於一身,這個ZIP壓縮文件厲害了
近日,白帽子黑客Marco Ramilli捕獲到了一封「奇特」的惡意電子郵件,其中包含一條鏈接,一旦點擊就會導致一個名為「pik.zip」的壓縮文件被下載。之所以說它奇特,是因為包含在這個ZIP文件中的JavaScript腳本文件採用了西里爾字母進行命名——被命名為「Группа Компаний ПИК подробности заказа」,翻譯過來就是「PIK集團公司訂單詳情」。
需要說明的是,目前使用西里爾字母的文字包括俄語、烏克蘭語、盧森尼亞語、白俄羅斯語、保加利亞語、塞爾維亞語和馬其頓語等,而PIK恰好就是俄羅斯的一家房地產公司,擁有超過1.4萬名員工。也就是說,攻擊者顯然試圖將電子郵件偽裝成來自PIK公司,從而藉助該公司的聲譽開展攻擊活動。
Marco Ramilli表示,攻擊者使用了多種混淆技術來對該腳本JavaScript進行混淆處理。其中,在感染第一階段階段存在兩個主要的混淆流:
該腳本最終會釋放並執行一個虛假的圖像文件「msg.jpg」,該文件實際上是一個經過UPX加殼的Windows PE文件,被用於感染的第二階段。
在感染的第二階段,三個額外的模塊會被釋放並執行:一個後門木馬、一個挖礦腳本和一種此前曾被廣泛報道過的勒索病毒——Troldesh。
分析表明,第一個被釋放的模塊(327B0EF4.exe)與Troldesh非常相似。該勒索病毒會在加密目標文件之後對其進行重命名並附加一個「.crypted00000」擴展名。舉例來說,當一個名為「1.jp」的文件在被加密之後,其文件名就會被重命名為「hmv8IGQE5oYCLEd2IS3wZQ==.135DB21A6CE65DAEFE26.crypted000007」。同時,Troldesh還會篡改計算機桌面的壁紙,以顯示勒索信息:
第二個被釋放的模塊(37ED0C97.exe)是被證實一個名為「nheqminer」的挖礦腳本,被用於挖掘大零幣(Zcash,一種加密貨幣)。
第三個安裝被釋放的模塊(B56CE7B7.exe)則被證實是Heur木馬,該木馬的主要功能是針對WordPress網站實施暴力破解,曾在2017年被廣泛報道。
根據Marco Ramilli的說法,該木馬的典型行為與HEUR.Trojan.Win32.Generic非常相似,包括:
一旦該木馬安裝成功,就會通過暴力破解來尋求弱口令憑證,而一旦發現了弱口令憑證,就將pik.zip復制到這些WordPress網站中。
Marco Ramilli認為,此次攻擊活動背後的攻擊者顯然試圖通過多種渠道來牟利——勒索病毒和加密貨幣挖礦腳本。此外,攻擊者還試圖通過受感染計算機來暴力破解並控制隨機的WordPress網站。這樣的攻擊活動工作量顯然非常大,且很容易被檢測到。因此,攻擊者不太可能是某個國家黑客組織,而只是一群想要同時通過多種方式來牟利的網路犯罪分子。
『陸』 挖礦木馬類型: virus.js.qexvmc.1 描述: 惡意軟體是對病毒、木馬、蠕蟲、後門程序等危害用戶計算機及
朋友你好,有些病毒在正常模式下是殺不掉的,你可以如下操作試試:(1)重啟後,F8 進帶網路安全模式(2)用360安全衛士依次進行:清除插件、清除垃圾、清除痕跡、系統修復、高級工具「開機啟動項管理」一鍵優化、使用「木馬查殺」殺木馬,用360殺毒全盤殺毒。如果還沒清除用下以方案:(3)重新啟動,F8 進帶網路安全模式(4)用360系統急救箱試一試 ,希望能幫助你
『柒』 WannaMine挖礦木馬手工處理
關於病毒及木馬的問題,都說老生常談的了,這里就不講逆向分析的東西,網上畢竟太多。就寫一下WannaMine2.0到4.0的手工處理操作。確實,很多時候都被問的煩了。
WannaCry勒索與WannaMine挖礦,雖然首次發生的時間已經過去很久了,但依舊能在很多家內網見到這兩個,各類殺毒軟體依舊無法清除干凈,但可以阻斷外聯及刪除病毒主體文件,但依然會殘留一些。此種情況下,全流量分析設備依舊可以監測到嘗試外聯,與445埠掃描行為。
WannaCry 在使用殺毒軟體及手動清除攻擊組件所在目錄後,仍需手動cmd命令刪除兩個系統服務sc delete mssecsvc2.0與mssecsvc2.1。
WannaMine 全系使用「永恆之藍」漏洞,在區域網內快速傳播。且高版本會在執行成功後完全清除舊版本。
下圖為WannaCry與WannaMine使用的永恆之藍攻擊組件相關文件。
WannaMine2.0版本
該版本釋放文件參考如下:
C:
C:Windowssystem32wmassrv.dll
C:.dll
C:WindowsSystem32EnrollCertXaml.dll 刪除系統服務名與DLL文件對應的wmassrv。
WannaMine3.0版本
該版本釋放文件參考如下:
C:.xmlC:WindowsAppDiagnosticsC:WindowsSystem32TrustedHostex.exeC:WindowsSystem32snmpstorsrv.dll
需刪除主服務snmpstorsrv與UPnPHostServices計劃任務
WannaMine4.0版本
該版本釋放文件參考如下:
C:WindowsSystem32 dpkax.xsl
C:WindowsSystem32dllhostex.exe
C:.dll
C:.dll
C:WindowsSysWOW64dllhostex.exe
C:WindowsNetworkDistribution
<pre style="margin: 0px; padding: 0px; white-space: pre-wrap !important; overflow-wrap: break-word !important; max-width: 98%;">文件名隨機組合參考• 第一部分:Windows、Microsoft、Network、Remote、Function、Secure、Application •第二部分:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP •第三部分:Service、Host、Client、Event、Manager、Helper、System •rdp壓縮文件隨機字元串後綴:xml、log、dat、xsl、ini、tlb、msc</pre>
關於Windows下計劃任務與啟動項查看方式,建議在使用PCHunter、Autoruns、ProcessHacker等工具無法發現異常的情況下,可以到注冊表下查看。
注冊表下排查可疑的計劃任務
HKEY_LOCAL_
發現可疑項可至tasks下查看對應ID的Actions值
HKEY_LOCAL_ asks[圖片上傳失敗...(image-e8f3b4-1649809774433)]
計劃任務文件物理目錄
C:
新變種病毒有依靠 WMI 類屬性存儲 ShellCode 進行攻擊,Autoruns可以用來檢查WMI與啟動項並進行刪除,在手動刪除病毒相關計劃任務與啟動項時,記得刪除相應的文件與注冊表ID對應項。
注冊表下查看開機啟動項
HKEY_CURRENT_或runOnce [圖片上傳失敗...(image-8a357b-1649809774432)]
『捌』 挖「比特幣」等非法「挖礦」行為可能涉嫌的罪名
加密數字貨幣非法「挖礦」行為可能涉嫌的刑事犯罪
作者:李俊南 ,上海華勤基信(杭州)律師事務所負責人
近年來,比特幣、萊特幣、狗狗幣等加密數字貨幣的火熱行情吸引無數一夜暴富心態的人群積極參與,幣安、火幣、OKEx之類的網站迅速擴張擁有大量交易參與方,除了通過買賣途徑,很多人也選擇通過「挖礦」獲得加密數字貨幣。在「挖礦」的過程中產生一系列行為,而其中部分行為可能涉嫌刑事犯罪。筆者認為,如果要辨析可能涉嫌刑事犯罪的行為,必須先就加密數字貨幣和「挖礦」行為的概念進行了解。
第一部分 關於加密數字貨幣和「挖礦」的概念和性質
一、加密數字貨幣的概念
口語化普遍使用「虛擬貨幣」或者「數字貨幣」來指稱比特幣、萊特幣、USDT、狗狗幣等,其實「虛擬貨幣」或者「數字貨幣」的范圍比較廣泛,泛指不受管制的、數字化的貨幣,包括我們日常所知道的騰訊Q幣、盛大元寶等 游戲 幣或置換網站內部增值服務等的網路專用幣,也包括加密數字貨幣,筆者本文探討的各種行為或情節特指加密數字貨幣。加密數字貨幣是一種使用密碼學原理來確保交易安全及控制交易單位創造的交易媒介或者商品,來源於開放式的演算法導致沒有固定的發行方或管理方,通過網路計算方法進行解密獲得原始數字貨幣,因為演算法解總量可控從而做到讓數字貨幣總量固定,交易過程獲得網路中各個節點的認可從而導致交易行為的固定性或安全性。
加密數字貨幣與實物貨幣或者形式貨幣的數字化不同,《關於防範比特幣風險的通知》[1]和《關於防範虛擬貨幣交易炒作風險的公告》[2]明確其作為虛擬商品的性質,「不由貨幣當局發行,不具有法償性與強制性等貨幣屬性,不是真正的貨幣,不應且不能作為貨幣在市場上流通使用」。貨幣最初為不容易大量獲取的物品,而後變為金屬(尤其是金銀),這些本身即有價值的物品被挑選出來賦予交換權,按照某一時間點特定的價值比例可以循環、普適地交換其他商品或服務。政府(包括其他具有公信力的主體)成立後發行法幣,基於政府公信力和金銀儲量等基礎進行許諾,賦予法幣可以代替實物貨幣進行與商品或服務之間的交換。法幣(比如人民幣、美元、英鎊等)是在主權信用、貨幣契約理論和金銀儲備等基礎上而被賦予的代表一定可供交換價值的 社會 接受度。而 社會 之所以接受,是因為發行法幣時,主權機構將會就該等份額的法幣做出相應信用許諾,法幣具有轉化為真實實物價值的可能性。通常每個主權國家或區域只是用一種法幣,由中央銀行發行和控制,嚴格遵循「MPQV」的公式進行計算,避免發生嚴重背離市場的通貨膨脹或緊縮。
加密數字貨幣背後並沒有所謂的主權信用或價值支撐,是通過區塊鏈技術保密和流通、計算機演算法而獲得的虛擬物。區塊鏈是用分布式資料庫識別、傳播和記載信息的智能化對等網路。2009年比特幣第一個區塊被開發出來,有人稱之為「創世區塊」。用於加密數字貨幣的計算機演算法,目的是生成一種虛擬標記,這個標記被設定的程序認為完成了程序要求的解或運算結果程度,基於運算結果給這個標記一定的數字貨幣值。這個值本身沒有內在價值,是數學難題的解答,充其量可能對應的就是解法研發和所耗費的「礦機」購買價格、能耗價格等,而前者無法代表有價物,後者代表的只有消耗而沒有創造。
二、「礦機」和「挖礦」
獲得加密數字貨幣的初始方法就是運算,需要藉助計算機(「礦機」)來完成復雜運算過程。「礦機」通過中央處理器晶元或者顯卡參與數學計算,開展「挖礦」過程。如果能夠計算出結果,那麼被賦予一個或者幾分之一個數字貨幣值。以比特幣為例,「挖礦」就是找到一個隨機數(Nonce)參與哈希運算Hash(BlockHeader),使得最後得到的哈希值符合難度要求。
「挖礦」過程涉及的參與方和設備材料包括礦工、礦機、礦機銷售方、礦池管理方、區塊確認和廣播等。礦工可以簡單地理解為參與「挖礦」的每個人或機構,礦池是為了避免單個礦工「挖礦」收益的不穩定性而聚合礦工後產生的集合,根據不同礦工的運算貢獻對收益結果進行分配,區塊確認和廣播是通過區塊鏈節點互相認可某一個礦機代表的礦工工作量證明,進行記賬和通知其他節點。礦工的收益存儲於有密鑰的電子錢包中,可以查閱、使用和交易。「挖礦」的形式主要分為集中託管式和分布式,前者是礦工將礦機託管給某個礦池管理方,礦工支付電費和管理費,礦池管理方統一進行操作維護;後者是礦工自行管理礦機。
筆者認為單純的「挖礦」行為在此前並未存在任何有關於涉嫌違法的法律規定,但2021年5月21日國務院金融穩定發展委員會召開第五十一次會議,根據會議精神,「堅決打擊比特幣挖礦和交易行為」,此後就虛擬貨幣非法「挖礦」行為應當會出台進一步的規定。
第二部分 非法「挖礦」行為涉及刑事犯罪的現狀
一、筆者以「刑事案件」、「虛擬貨幣」、「挖礦」等關鍵詞在中國裁判文書網中進行搜索,存在132篇文書。經過對案件文書的研判,筆者發現:
1.根據審判程序來看。 一審判決書佔比81.81%;二審裁定書等佔比16.67%;審判監督駁回申訴通知書等佔比1.52%。
2.根據定罪罪名來看。 (1)一審定罪主要分布為:盜竊罪主要為盜竊公共電力資源,計算機系統相關犯罪主要為在他人計算機內植入木馬外掛程序、利用工作職務便利使用可控制的計算機系統挖礦等,非法吸收公眾存款罪、詐騙罪、集資詐騙罪和組織、領導傳銷活動罪除了與「挖礦」有關,還與加密數字貨幣的發行緊密相關,少量盜竊罪和其他類案件主要是與礦機買賣相關,或「挖礦」收益取得後被非法侵犯產生的其他犯罪行為。大量案件為單一罪名,少量案件數罪並罰。(2)二審定罪主要為組織、領導傳銷組織犯罪,佔50%;控制、入侵、破壞計算機系統等計算機系統相關犯罪,佔18.18%;其餘各項罪名(搶劫罪、集資詐騙罪、非法吸收公眾存款罪、盜竊罪等)佔31.82%。基本所有案件均維持原判。
二、筆者另通過網路搜索發現:
2018年5月騰訊網報道[3]稱,「西安市未央區檢察院提前介入一起特大網路黑客盜竊虛擬貨幣案,並批捕該案三名嫌疑人。三名嫌疑人為專業化的網路技術人員,組織『黑客聯盟』非法侵入他人計算機系統並將計算機中的虛擬貨幣轉移,涉案金額高達6億元」。
2020年11月哈爾濱新聞網報道[4]稱,黑龍江警方抓獲28名犯罪嫌疑人,成功破獲一起涉嫌以「哥倫布CAT虛擬貨幣」「挖礦」為噱頭的特大網路傳銷案件,總價值近人民幣3億元。
2021年5月8日法制現場報道[5]稱,武漢市洪山警方「宣布打掉一專為網路詐騙團伙開發APP的 科技 公司」,「晟昌 科技 」接受委託定製開發一款名為聯合眾鑫的虛擬幣平台,以USDT充值後,「宣稱兌換聯合眾鑫獨有幣種ZBCT後,可在平台內購買礦機挖礦產生收益」,但礦機運營圖片全部為網路圖片,同時可以使用後台修改許可權,「隨意修改ZBCT價格及具體收益比率」。「晟昌 科技 」公司「3年間開發了150餘個涉及區塊鏈、虛擬貨幣、電子錢包、網路商城等APP、小程序,幾乎全部是網路金融詐騙、傳銷團伙所定製」[6]。
公布案例和網路報道表明,近年來與加密數字貨幣「挖礦」行為相關的違法犯罪活動非常猖獗,採取網路等方式,存在金額高、行為性質復雜、多角色參與、受害者群體遍布廣等特徵。
第三部分 就非法「挖礦」行為涉及刑事犯罪的一些思考
一、我國關於非法「挖礦」行為的態度
從2013年12月中國人民銀行等五部委發布的《關於防範比特幣風險的通知》至2021年5月21日國務院金融穩定發展委員會第五十一次會議要求,都在宏觀層面確認了加密數字貨幣在發行、交易過程中可能存在風險。因為加密數字貨幣去中心化不可管控的特性,被大量的犯罪活動所「青睞」。
2021年5月25日,內蒙古發展和改革委員會發布了《關於堅決打擊懲戒虛擬貨幣「挖礦」行為八項措施(徵求意見稿)》,發布之前已多次對虛擬貨幣「挖礦」和交易行為進行圍追堵截。國家能源局四川監管辦公室發布《關於召開虛擬貨幣「挖礦」有關情況調研座談會的通知》。
二、從國際上而言
新加坡、韓國、日本等地均已出台了與虛擬貨幣相關的行業規范政策,比如在投資人門檻、交易所牌照、實名認證機制等方面均有所要求。印度則准備直接禁止民眾交易及持有加密數字貨幣。各個國家和地區的大趨勢也逐漸朝著管控方向歸攏。
三、非法「挖礦」行為的非法性體現分析
單純的個人購買或者租用礦機進行加密數字貨幣「挖礦」,並未有法律規定禁止,這是基於個人需要而獲得虛擬商品的行為,需要被禁止的應當是帶有非法屬性的「挖礦」行為。
前文提及的案例表明,主要犯罪行為體現為:
1.技術型非法攫取
部分不法分子利用投資者購買礦機,或管理計算機,或其他便利條件,通過對計算機系統內植入木馬病毒為自己「挖礦」,涉嫌 入侵、控制或破壞計算機系統犯罪 ,或盜取他人已經獲得的加密數字貨幣 涉嫌盜竊罪 。
2.盜取電力資源
部分不法分子通過私設電纜、增設微電腦控制器等手段盜竊電能用於「挖礦」,已經成為了部分地區的多發性案件。盜電行為不僅僅直接通過秘密手段非法使用和侵犯了公共資源和他人合法權益,同時可能會因線路漏電引起火災、影響節能減排政策下的區域供電安排和平衡、影響區域性階梯用電的電價,應予以打擊。
3.引發 非法吸收公眾存款罪,詐騙罪 或 組織、領導傳銷活動罪 等涉眾
(1)A宣稱可以銷售(含銷售後託管)或租賃礦機進行「挖礦」, A向 社會 公眾宣稱,礦機具有強大的算力(衡量礦機銷售價格或租賃費用多以算力或配置為主要標准之一),稱可以每月獲得一定的加密數字貨幣收益回報。如果回報是維持在一定的固定標准時,則A就有可能 涉嫌非法吸收公眾存款罪 。
(2)A宣稱其礦機存在一定標準的算力,但實際未達到該等運算效率,甚至礦機並不實際存在,A收受投資人支付的購買款和租賃費,就 涉嫌詐騙罪、合同詐騙罪 或 集資詐騙罪 。
(3)A通過三級以上代理渠道推廣「挖礦」業務,要求各級代理必須先購買或承租一定數量的礦機,可以介紹他人參與購買或承租礦機「挖礦」的行為,可以獲得浮動收益。也就是說,代理通過購買或承租一定數量的礦機獲得入會資格,再通過拉人頭等方式拿到另外的利潤分配,形成三級或以上組織架構,A將 涉嫌組織、領導傳銷活動罪 。
四、再進一步思考
1.A沒有礦機或礦機根本不符合其宣稱的性能,向投資人銷售的同時約定託管,或進行租賃時以虛假信息表現存在礦機、以各種借口阻止投資人現場查看或查看虛假場所,但是A與投資人約定退出機制並按月交付投資收益,在市場上購買加密數字貨幣宣稱「挖礦所得」給予投資人、賺取利差的行為,是否涉嫌犯罪?筆者認為A的行為屬於詐騙行為,究其本質都是採用了虛構事實或者隱瞞真相的行為,使投資人誤以為A有符合宣傳的礦機、可以帶來符合預期的收益,才支付的購買價款或租賃費用。
2.A自己發行了一種加密數字貨幣,自行定價,宣稱租賃A的礦機可以「挖礦」獲得該加密數字貨幣,實際上並沒有礦機供投資人使用,僅僅是根據投資人的投入金額,向投資人固定地發放加密數字貨幣。A通過程序設定「挖礦」所得數量,甚至將該加密數字貨幣與主流加密數字貨幣的兌換價格無限調整,是否涉嫌犯罪?筆者認為,A的行為仍然是詐騙行為,該加密數字貨幣可能僅僅在A控制網路節點中做閉環運作,通過一系列的包裝,利用投資人的回報期待,以無價值的數字化產物置換法幣(也可能現要求投資人以法幣購買主流加密數字貨幣,再以主流加密數字貨幣進行投資,增加手段的隱蔽性),實際上還是非法佔有受害人財產。
3.A發行了加密數字貨幣,投資人租賃礦機參與「挖礦」的目的不在於看好該加密數字貨幣的升值空間,而在於該加密數字貨幣與主流加密數字貨幣的恆定兌換比例。投資人以其獲得的黑色或灰色收入購買該加密數字貨幣,在閉環系統里兌換為主流加密數字貨幣,通過買賣獲得法幣資產。涉及犯罪所得的非法收入通過「挖礦」洗白。A的行為根據其故意程度、參與上游犯罪程度,可能涉嫌上游犯罪的共犯、幫助網路信息犯罪活動罪、掩飾隱瞞犯罪所得罪、洗錢罪等。
綜上所述,大量人群為了高回報期待參與「挖礦」行為,在不法分子的引誘、欺騙下,或在自身利益驅動下可能發生違法犯罪的行為,涉案的罪名種類繁多,行為手段也日趨復雜化、隱蔽化、涉眾化,需要加強監管,避免加密數字貨幣的熱潮給犯罪活動提供溫床。
『玖』 伺服器被攻擊並植入kdevtmpfsi挖礦/病毒/木馬
MongoDB庫中的數據莫名其妙沒有了,發覺如下信息:
1、 top -d 5命令 ,查看系統負載情況、是否有未知進程,發現一個名為kdevtmpfsi的進程,經科普它是一個挖礦程序,會佔用伺服器高額的CPU、內存資源。如圖,CPU佔用率高達788.7%,而且是yarn用戶下:
2、 ps -ef |grep kdevtmpfsi 命令查看 該挖礦程序路徑:/tmp/kdevtmpfsi
3、 ps -ef |grep yarn 命令查看更多關於yarn相關進程信息(此時我的伺服器並沒有開啟yarn服務,如果有yarn的相關進程則可判斷是攻擊者開啟的進程),發現另外還有個kinsing進程,經科普kinsing進程是kdevtmpfsi的守護進程:
4、 netstat -lntupaa 命令查看是否有異常的ip,果然發現194.87.102.77這個陌生的ip,判斷是kdevtmpfsi的發出者:
5、經查詢該ip的所在國家是俄羅斯:
6、 find / -iname kdevtmpfsi 命令再次確定命令所在位置以便刪除:
7、 cd /tmp 進入相關目錄:
8、 rm -rf kdevtmpfsi 刪除kdevtmpfsi程序:
9、** kill -9 40422**殺掉kdevtmpfsi進程:
10、發現並沒殺掉所有kdevtmpfsi進程,再次查找yarn的相關進程(因為之前已確認病毒是在yarn下),果真還有kdevtmpfsi進程存在:
11、用命令 批量殺掉 相關進程:
12、刪除kinsing文件:
13、現在,已經把挖礦程序及相關進程刪除掉了,但是還有兩處沒做處理:
14、 crontab -l 命令先看看crontab的定時任務列表吧:
15、編寫刪除挖礦程序腳本 kill_kdevtmpfsi.sh :
16、新增 定時任務 並刪除攻擊者的挖礦定時任務:
17、 crontab -l命令 查看現在只有殺進程的定時任務了:
18、禁止黑客的IP地址。
最初安裝MongoDB時,並未設置密碼認證,存在漏洞,導致黑客通過漏洞攻擊伺服器,並在程序里植入木馬/病毒。單純的kill -9 id殺掉病毒進程是殺不徹底的,治標不治本,應該定時刪除病毒進程,禁止攻擊者IP,重新安裝系統或相關軟體。
經過幾天的觀察,伺服器運行正常,再沒有被黑客攻擊成功。
『拾』 中了挖礦木馬,我是如何清理的
目前挖礦木馬還沒辦法查殺,即使是2020年6月的現在,市面上所有的安全衛士都沒辦法識別出來。這個木馬非常狡猾,通過區域網共享傳播,感染之後會在本地生成一個合法程序(powershell命令形式的),然後木馬程序會自動刪除,這也是安全衛士沒辦法查殺的原因吧。我曾經翻過整個C盤,都沒辦法找出源文件,只能重裝系統了。