挖矿病毒入侵服务器

㈠ 中挖矿病毒的表现

故障现象：使用过程中，发现经常有服务无故关闭，登录服务器经检查，发现CPU使用率达到100%。在检测异常进程中，未发现CPU使用率异常的进程（使用 top、htop 以及 ps -aux 进行检查），于是报障。

检测过程：

1.找到他shell脚本对应目录把目录或者文件删除。

2.检查定时任务是否存在挖矿木马文件在定时任务中，避免定时运行挖矿木马文件。

3.添加hosts挖矿病毒访问对应网站，避免二次访问并下载。

4.排查liunx命令是否损坏，如损坏下载"procps-3.2.8"并编译，恢复top等系列命令。

5.检测进程是否异常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的网站程序是否存在漏洞，并排查下nginx或者apache日志审查漏洞所在处。

7.排查ssh登录日志。

8.把ssh登录切换成秘钥登录。

9.重启服务器，检查是否进程是否正常。

㈡ 为什么黑客们要广设服务器，用别人的手机设备去挖矿

因为用别人的手机会更加安全一点，这样公安局或者安全局就不容易找到黑客的地址了。

“偷矿”是指未经你同意的情况下，黑客利用你的系统资源挖掘虚拟货币。这主要借助于网站的 JavaScript 代码，黑客在代码中注入“偷矿”程序，当你访问这些代码时，“偷矿”程序便会偷偷自动运行。

虽然 Chrome 是最常用的浏览器，但是 Opera 浏览器提供了一些 Chrome 没有的有趣功能。最新版本的 Opera 浏览器能够自动拦截广告，此外，它还内置了阻止挖矿的防护功能。这一功能可以阻止网站擅自运行非法挖矿的脚本，这与网页上的广告拦截技术并没有太大区别。

2.使用清理程序

如果采用了上面的措施之后你仍然放心不下，那么可以在电脑和智能手机上安装 Malwarebytes 清理程序，它的电脑版是完全免费的，但是针对手机的高级版是收费的。随着现在越来越多的区块链项目开始采用手机挖矿，如果你不想让自己的手机有被当作肉鸡的风险，适当花点小钱也是值得的。

你仍然可以继续使用像卡巴斯基这样的防病毒软件来保护自己的智能手机。

㈢ 最近看的很多人购买挖坑机，那么挖矿到底能不能赚钱

当然能。去年年底为止，比特币陷落在价格低谷，挖矿所花的电费都大大超过了收益，只有一部分人闷声发大财，挖一些比较冷门的专业性很强的莱特币，以太坊之类。这里的专业性很强指矿机本身的针对性和局限性，常常受到产商的控制，一台简单的莱特币矿机起价近万元，回本时间长，不像比特币矿机那样使用的运算工具是比较常见的显卡，所以很少见到。
时来运转，一个初中生都能写出的病毒搭上了FBI高速铁路，入侵千万企业主机高价勒索，其支付方式便是苟延残喘的比特币。比特币的特点就是无法追查，所以成为无数无良黑客的选择。这人拿了钱美滋滋的逃走了，留下无数比特币交易流通的痕迹，直接带动比特币疯狂涨价（说疯狂真是一点都没错），比特币单值暴涨（比特币交易单位为0.01），于是在企业家痛哭流涕哀悼自己的数据和钱的时候，隐藏已久的矿工们闻到了财富的味道——
比特币挖矿再次兴起，并且比上一次更加疯狂！AMD RX系列显卡在短短几个星期之内抢购一空，奸商乘机价格翻倍依然一卡难求。矿工们又将目光转向英伟达的帕斯卡架构显卡，连1060 1070 1080这样本来不适合挖矿的显卡也掠夺得一个不剩。现在jd tb等新显卡价格倍增就是他们的罪证。得罪了谁？看不起坐享其成的人，以及硬件玩家。
话题转回来，现在挖矿可谓是守株待兔兔子都能排队撞上来。我国最大的矿场位于佛山，其矿力可为拥有者带来一年几百万的超高收入。即使以单卡挖矿计算，AMD的RX570仅需33天即可回本并在以后的运算中开始盈利，其他新卡以40~60天不等的回本时间排列下来。如果要挖矿，抓紧时间，这就是淘金潮，人人都可以淘到金，但金是有限的。
这样的浪潮最终结果必然是市场的过度膨胀导致泡沫经济，比特币极有可能在某一天瞬间跌入谷底。虽然不在这段时间，但是不远了。大概会在11月份左右，不会超过明年2月。
所谓矿工有难，八方点赞。一些扭曲的嫉妒心总是看不惯这种资本主义色彩强烈的行为的，如果要做，那么闷声发大财。如果不做，那么，保持沉默就是对比特币市场最大的打击。

㈣ 现在的病毒和木马，有什么区别

一、概念上的区别

计算机病毒（Computer Virus）是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。

木马，全称是“特洛伊木马”，英文为Trojan Horse，来源于古希腊神话《荷马史诗》中的故事《木马屠城记》。而现在所谓的特洛伊木马正是指那些表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。

二、性质上的区别

计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期：开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。

木马是具有欺骗性的文件 ，是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

三，危害上的区别

病毒可以被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机。而有些病毒不损坏计算机，而只是复制自身，并通过显示文本、视频和音频消息表明它们的存在，但即使是这些“良性”病毒也会给计算机用户带来问题，比如会占据计算机内存。

特洛伊木马不具传染性，它并不能像病毒那样复制自身，也并不"刻意"地去感染其他文件，它主要通过将自身伪装起来，吸引用户下载执行。

特洛伊木马中包含能够在触发时导致数据丢失甚至被窃的恶意代码，要使特洛伊木马传播，必须在计算机上有效地启用这些程序，例如打开电子邮件附件或者将木马捆绑在软件中放到网络吸引人下载执行等。

现在的木马一般主要以窃取用户相关信息为主要目的，相对病毒而言，我们可以简单地说，病毒破坏你的信息，而木马窃取你的信息。

㈤ 璁板綍涓娆NAS琚玿mrig鎸栫熆鐥呮瘨鍏ヤ镜鐨勭粡鍘

銆愯︽儠锛丯AS閬閬噚mrig鎸栫熆鐥呮瘨鍏ヤ镜璁般

涓寮鍦哄氨缁欎釜璀﹀憡锛浣跨敤鎵嬫満BT涓嬭浇绠＄悊杞浠舵椂瑕佽皑鎱庯紒</

鑳屾櫙锛氫竴鍙板叏鍔熻兘涓绘満N5105閰8GB鍐呭瓨锛岃繍琛屽湪PVE铏氭嫙鏈轰笂锛屼綔涓篘AS锛孫penWRT璐熻矗璺鐢憋紝OMV鎵胯浇鐫NAS鐨勫伐浣溿備笅杞藉伐鍏烽夌敤浜唓bittorrent锛屽畠闅愯棌鍦∣MV鐨勫簢鎶や笅銆

浜嬫儏鐨勭獊鍙橈細CPU鍗犵敤鐖嗚〃锛岀枒浜戞诞鐜</

6鏈7鏃ワ紝鎴戜緥琛屾鏌PVE鍚庡彴锛孫MV鐨凜PU浣跨敤鐜囩珶鐒舵弧杞斤紝杩樹互涓烘槸PT浠诲姟鎵鑷淬傜劧鑰岋紝鎵撳紑qbittorrent鍚庡彴锛屽嵈涓嶈佷换浣曟椿璺冧换鍔★紝鍙鏄闆舵槦鐨勪笂浼犲崰鐢ㄤ簺璁稿甫瀹姐傞偅涓鍒伙紝鎴戝療瑙夊埌浜嗕笉瀵诲父銆

娣卞叆鎺㈢┒锛鐥呮瘨鐨勪吉瑁呬笌鍙戠幇</

鐧诲綍OMV鍚庡彴锛屽彂鐜板悕涓簒mrig鐨勮繘绋嬬嫭鍗燙PU銆傜粡杩囩櫨搴︽悳绱锛屾垜鎰忚瘑鍒拌繖鍙鑳芥槸鐥呮瘨锛岃繀閫熸墽琛屼簡kill鍛戒护锛屽彲鎯滃お鍖嗗繖锛屽繕璁版埅鍥句綔涓鸿瘉鎹銆傦紙kill铏藉揩锛屼絾瑕侀槻鎮ｄ簬鏈鐒</锛

鎺ョ潃锛屾垜灞曞紑浜嗘繁搴︹滄秷姣掆濊屽姩锛杩借釜鐥呮瘨瓒宠抗</

棣栧厛锛岄氳繃top -c鎵惧埌浜嗙梾姣掓枃浠剁殑钘忚韩涔嬪勶紝鏋滄柇鍒犻櫎銆傜劧鍚庯紝浠旂粏鎼滅储鍙鑳界殑鍚庨棬锛屽彂鐜伴檶鐢熷叕閽ユ綔鍏ヤ簡~/.ssh/authorized_keys锛寏/.profile鏂囦欢涔熼伃鍙椾簡绡℃敼锛屾剰鍛崇潃姣忔＄櫥褰曢兘鍙鑳芥垚涓虹梾姣掔殑甯鍑躲傛棩蹇楅噷娌℃湁澶栫綉鐧诲綍鐨勮釜杩癸紝瀹氭椂浠诲姟涔熸棤寮傛牱锛岄棶棰樻潵浜嗭紝鐥呮瘨鏄濡備綍鎮勬棤澹版伅鍦板惎鍔ㄧ殑鍛?

瀵绘壘鐥呮瘨鐪熷嚩鐨勭嚎绱</

绯荤粺鏃ュ織鎴愪簡鎴戣拷韪鐨勭嚎绱㈠疂搴擄紝涓鏉″叧閿璁板綍鎻绀轰簡鐪熺浉锛歲bittorrent浠庝竴涓鍦板潃涓嬭浇骞舵墽琛屼簡涓涓鑴氭湰锛岃繖涓鑴氭湰涓嬭浇浜嗘寲鐭胯蒋浠跺苟鍚鍔ㄤ簡杩涚▼銆傝繖璁╂垜鎬鐤戞槸qbittorrent鐨勬紡娲烇紝浣嗗紑婧愯蒋浠剁殑鍙淇″害璁╂垜璐ㄧ枒鍙︽湁韫婅贩銆

娣卞叆鎸栨帢锛屾垜鍦╭b鐨勫悗鍙版壘鍒颁簡绛旀堬細绉嶅瓙涓嬭浇鑳屽悗鐨勭樺瘑</

鍘熸潵锛屾瘡娆＄嶅瓙涓嬭浇瀹屾垚鏃讹紝qbittorrent浼氳嚜鍔ㄦ墽琛屼竴娈典唬鐮侊紝涓嬭浇骞惰繍琛屾寲鐭胯剼鏈銆傝繖灏辨剰鍛崇潃锛屾瘡涓鍦轰笅杞介兘鍙鑳借Е鍙戜竴鍦烘棤鎰忚瘑鐨勬寲鎺樻椿鍔锛

鏈鍚庣殑鐤戦棶锛鐥呮瘨濡備綍娼滃叆鐨</

鎴戝洖鎯宠捣鏉ワ紝6鏈3鏃ユ垜鏇惧皾璇曚娇鐢ㄦ墜鏈虹＄悊qb锛岄偅涓ゅぉ鎴戣瘯鐢ㄤ簡涓ゆ捐繙绋嬬＄悊宸ュ叿锛屽畠浠鍙鑳芥槸鐥呮瘨鐨勯氶亾銆備絾鐜板湪锛屾垜涓嶆効鍐嶈拷鏌ュ叿浣撴槸鍝娆惧簲鐢锛屾瘯绔燂紝鐧藉珫鐢靛奖鍚庯紝璁╂垜浠樿垂璐涔拌蒋浠跺彲涓嶆槸鎴戠殑椋庢牸銆

鎬荤粨锛氫俊浠讳笌璀︽儠鐨勫钩琛</

鎶樿吘褰掓姌鑵撅紝閫夋嫨寮婧愪笉浠ｈ〃鍙浠ュ畬鍏ㄤ俊浠汇傚湪鎼寤哄跺涵褰遍煶涓蹇冩椂锛屾垜浠闇瑕佹洿鍔犺皑鎱庯紝閬垮厤璁╂潵鍘嗕笉鏄庣殑杞浠剁＄悊鏍稿績璁惧囥傛潈闄愭帶鍒跺拰浣跨敤root鐢ㄦ埛璋ㄦ厧琛屼簨鏄蹇呴』鐨勩

鏈熷緟鏇村氬畨鍏ㄥ彲闈犵殑寮婧愰」鐩锛岃╂垜浠鑳芥洿瀹夊績鍦颁韩鍙楃戞妧甯︽潵鐨勪究鍒┿傝嚦浜庨偅娈祍h鏂囦欢鐨勮︽儏锛屾儕蹇冨姩榄勶紝璇︽儏璇疯嚜琛屾煡鐪嬮檮鍥撅紝閾炬帴灏卞厤浜嗐傦紙鐐瑰嚮鍥剧墖锛屾彮闇查殣钘忕殑鎭愭</锛

㈥ 比特币挖矿平台被入侵情形如何

斯洛文尼亚挖矿平台NiceHash周四在其官网发布一则声明，声称该平台遭遇黑客攻击，大量比特币被盗，目前平台各项服务已全面关闭。

NiceHash方面表示比特币被盗是因为钱包遭遇入侵，公司正在核实被盗的比特币数量，并配合有关部门进行调查。根据存储比特币钱包的地址显示，此次约有4700多枚比特币被盗。

卡巴斯基实验室的恶意软件分析师Sergey Yunakovsky认为，加密货币不再是一个遥不可及的技术。最近，我们观察到针对不同类型的加密货币的恶意软件攻击有所增加，我们预计这一趋势将继续下去。

而加密货币价格的飙涨是它们被黑客盯上的主要原因。比特币在本周上演疯狂上涨的行情，随着本周六美国市场比特币期货推出的临近，市场对比特币的狂热在周四达到新高潮，该数字货币价格在约40个小时内飙升了约40%，连续突破五个千元关口，升破17000美元。周四，一些交易所的比特币价格甚至一度升破19000美元，24小时内涨幅超50%。

㈦ 阿里云yum工具和出站80端口不可用的问题排查一例

收到阿里云短信/站内信提醒，线上某资源被病毒入侵。查看告警详情及登录服务器后确认是感染了DDG挖矿病毒，入侵点是redis。由于病毒行为复杂，难以彻底清除对系统的修改，决定重置该实例然后重新部署服务。

实例重置后，发现yum无法使用。提示yum连接超时，连接的目标主机是阿里云的yum源（233.*的IP地址，为外网地址），协议为HTTP。

进一步测试发现DNS解析正常，curl访问内网的80端口正常，访问外网所有80端口均超时，访问外网的8080/443等部分非80端口正常。

经检查机器的iptables没有启用，阿里云安全组出站方向无限制。随后提交工单联系阿里云。

售后客服在工单中答复，之前机器被检测到有大量web攻击行为，阿里云已对该实例进行了出站特定端口封禁处理。在工单内表示问题已经排除后，客服提前人工解除封禁。

这类封禁处理不会体现在安全组，可以在 云盾安全管控管理控制台 来查看封禁记录。这个控制台也可以在阿里云控制台右上角账户图标--安全管控--处罚列表处进入。另外，处罚通知也会以站内信的方式发送（是否有短信暂不明确），所以及时查收站内信非常必要。

作为RAM用户身份登录难以保持登录状态，同时主账号对通知方式的设置不合理，加上对阿里云检测和通知机制不够熟悉，导致这次问题排查持续时间较久。

阿里云 yum 出站 端口 封禁 入侵

㈧ 比特币病毒入侵，有什么好的办法防治吗

正逢5月12号，汶川地震九周年的时候，比特币病毒攻击气势汹汹在中国泛起波浪来。

对于如何防止中招，微软的发言人表示，在 Windows 电脑上运行系统自带的免费杀毒软件并启用 Windows Updates 的用户可以免受这次病毒的攻击。Windows 10 的用户可以通过设置-Windows 更新启用 Windows Updates 安装最新的更新，同时可以通过设置-Windows Defender，打开安全中心。

㈨ 比特币病毒入侵，有什么好的办法防治吗

比特币病毒是一种敲诈病毒，该病毒是通过远程对感染者的电脑文件加密，从而向这台感染电脑的用户索要加密用户电脑文件，从而向用户勒索赎金，用户文件只能在支付赎金后才能打开。它运用的是4096位算法，这种算法，普通电脑需要几十万年才能破解出来，超级电脑破解所需时间也可能得按年计算，国内外尚无任何机构和个人能够破解该病毒，支付赎金是恢复文件的唯一办法。说通俗一点，该病毒像一个拥有金刚不坏之身的抢劫者，路上的人们都是他的攻击对象，而警察却不能制服他。

那么我们该如何防止它，避免让自己的电脑中招呢？

1. 今后养成定期备份自己电脑中的重要文件资料到移动硬盘、U盘，备份完后脱机保存该磁盘。这样随你删，删完之后我还有~

2. 要养成不明链接不要点击，不明文件不要下载，不明邮件不要打开的好习惯。

3. 安装最新的安全补丁，各大网络平台都可以找到

4. 关闭445、135、137、138、139端口，关闭网络共享。win10重启后，微软会自动处理这个漏洞。win7可以打开360卫士、电脑管家等，进行漏洞补丁的修复；而以被流放的XP 的用户就只能自己手动关闭455端口了。

• 如何关闭455端口？

在控制面板中找到Windows防火墙，开启防火墙，进入防火墙的高级设置，在“入站规则”中新建一条规则，本地端口号选择445，操作选择阻止连接。其他端口号也是同样的方法。

最后祝大家好运~