从病毒的角度分析挖矿

⑴ 挖矿病毒

自从比特币火起来以后，运维和安全同学就经常受到挖矿病毒的骚扰，如果有人说机器cpu被莫名其妙的程序占用百分之八十以上，大概率是中了挖矿病毒。

说说挖矿病毒的几个特点：

一、cpu占用高，就是文中一开始所说的，因为挖矿病毒的目的就是为了让机器不停的计算来获利，所以cpu利用率都会很高。

二、进程名非常奇怪，或者隐藏进程名。发现机器异常以后，使用top命令查看，情况好的能看到进程名，名字命名奇怪，我见过的linux上中毒的是以. exe命名的程序。对于隐藏进程名这种情况，找起来就更加费事了，需要查看具备linux相关的系统知识。

三、杀死后复活，找到进程之后，用kill命令发现很快就会复活，挖矿病毒一般都有守护进程，要杀死守护进程才行。

四、内网环境下，一台机器被感染，传播迅速，很快会感染到其他机器。

挖矿病毒的防御

挖矿病毒最好的防御重在平时安全规范，内网机器不要私自将服务开放到公司，需要走公司的统一接口，统一接口在请求进入到内网之前，会有安全措施，是公司入口的第一道安全门。还有就是公司内网做好隔离，主要是防止一个环境感染病毒，扩散到全网。

对于已经感染的情况，可以通过dns劫持病毒访问的域名，公网出口过滤访问的地址，这些手段是防止病毒扩大的手段，对于已经感染的机器，只能通过开始讲的几种方法找到并杀死病毒了。

⑵ 计算机病毒调查：越来越多恶意挖矿软件被安装在物联网设备上

光明网天津9月16日电 （记者 李政葳）在2019年国家网络安全宣传周期间，国家计算机病毒应急处理中心发布的“第十八次计算机病毒和移动终端病毒疫情调查报告”显示，2018年我国计算机病毒感染率和移动终端病毒感染率均呈上升态势。其中，网络安全问题呈易变性、不确定性、规模性和模糊性等特点，网络安全事件发生成为大概率事件，信息泄漏、勒索病毒等重大网络安全事件时有发生。

报告显示，云主机成为挖取门罗币、以利币等数字货币的主要利用对象，“云挖矿”悄然兴起。恶意挖矿技术提升明显，产业也趋于成熟，恶意挖矿家族通过相互之间的合作使受害计算机和网络设备价值被更大程度压榨，给安全从业者带来更大挑战；同时，越来越多的恶意挖矿软件被安装在网络和物联网设备上，影响设备性能的同时，也易形成僵尸网络，对整个互联网的安全构成威胁。

报告还提到，数据的重要价值越发凸显，信息泄露事件呈常态化，企业对数据的流向和使用权限监管薄弱，导致目前数据被第三方插件滥用的情况严重。随着移动互联网发展，万物互联的未来逐渐清晰，智能设备的生产过程中通常有大量第三方参与，而这些第三方由于发展迅速导致能力缺失，往往存在开发质量存疑、安全性能无法保障等问题。

另外，报告显示，移动互联网应用形态更加丰富，各类App已全面融入所有互联网业态，移动互联网生态环境日益复杂，与移动互联网相关的新型网络违法犯罪日益突出。在公安部的指导下，国家计算机病毒应急处理中心将进一步加强对移动App与SDK的检验检测，健全完善举报与企业自律工作机制，对发现的问题及时予以曝光，有效净化行业环境。

⑶ 挖矿木马是什么

挖矿木马 就是指用你电脑CPU GPU帮它进行复杂运算的恶意程序，一般不怎么占用网络流量
，主要是消耗计算机性能。针对这类恶意程序不少安全产品推出了一系列不错的功能 都能比较好拦截查杀挖矿木马，比如反挖矿防护功能等

⑷ 挖矿木马是什么

就是你电脑后台自行消耗显卡与CPU资源的木马病毒，这种木马是看你电脑配置很高，后台自行挖矿，你一般看不出来，但是你显卡或CPU占用很高的。

⑸ HEUR:TrOojan.Win32.Miner.gen是什么病毒

从病毒名称看，这是挖矿病毒。利用计算机的计算能力，来进行获得虚拟货币。

病毒运行过程中会大量占用计算机资源，导致计算机卡慢。

建议勤打补丁，防止病毒利用漏洞传播。还可以安装360安全卫士，默认开启挖矿木马防护。

⑹ 挖矿病毒分析（centos7）

rm -rf /root/.ssh/*
如果有配置过密钥认证，需要删除指定的黑客创建的认证文件即可。
ls /proc/10341 查看进程文件

该脚本执行了 /xm 脚本，并且总是会重启服务。如果此程序不进行清除，即使杀死了对应的进程，过一会还是会执行重新创建，又导致服务器异常。

因此，先停止启动脚本配置项：

systemctl disable name.service
删除脚本：

rm -rf /etc/systemd/system/xm.service

5,启动脚本删除完后，删除相应的程序
ps -ef|grep xmrig
ps -ef|grep javs

kill 9 pid

ls /proc/10341