如何排查服务器是否有挖矿行为

㈠ 求助服务器被挖矿程序入侵，如何排查

新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接

服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般

会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这

就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客

户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，

仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查

当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病

毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，

客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击

状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开

发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重

的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，

SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器

一切稳定运行，网站打开正常。

㈡ 网监如何查挖矿

1、网监通过挖矿当地的服务器IP。
2、找到挖矿的地点。
3、然后找到挖矿指定的公司总部。
4、让公司总部填入档案档案。

㈢ 中挖矿病毒的表现

故障现象：使用过程中，发现经常有服务无故关闭，登录服务器经检查，发现CPU使用率达到100%。在检测异常进程中，未发现CPU使用率异常的进程（使用 top、htop 以及 ps -aux 进行检查），于是报障。

检测过程：

1.找到他shell脚本对应目录把目录或者文件删除。

2.检查定时任务是否存在挖矿木马文件在定时任务中，避免定时运行挖矿木马文件。

3.添加hosts挖矿病毒访问对应网站，避免二次访问并下载。

4.排查liunx命令是否损坏，如损坏下载"procps-3.2.8"并编译，恢复top等系列命令。

5.检测进程是否异常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的网站程序是否存在漏洞，并排查下nginx或者apache日志审查漏洞所在处。

7.排查ssh登录日志。

8.把ssh登录切换成秘钥登录。

9.重启服务器，检查是否进程是否正常。

㈣ 分析与清除服务器上的挖矿程序

服务器运行突然变慢，CPU和显存占用异常，疑似遭遇挖矿攻击。接下来，我们将从分析和消除两个步骤来处理这个问题。

首先，通过top或htop命令，发现PID为3701992的进程占用CPU高达4004%，显示异常。进一步观察，该进程拥有大量子进程，这是挖矿程序典型特征。检查服务器对外网络连接，发现在本地活动的进程与美国IP 74.119.193.47有交互。

深入调查，发现在/home/ubuntu/.cache目录下的upd程序每隔一分钟执行一次，可能是挖矿脚本。查看自启动服务，未发现异常。挖矿脚本所在的目录中有可疑的可执行程序和脚本。其中，'upd'脚本读取进程ID并发送信号，'run'脚本则负责重启挖矿进程。确认h32和h64是挖矿程序后，我们有了确凿证据。

在清理阶段，首先移除定时任务，删除所有挖矿程序和脚本，包括.cache下的文件。确保所有挖矿进程已终止，CPU使用率恢复正常。为了阻止进一步入侵，将攻击者IP加入防火墙黑名单，确保SSH连接的畅通。

安全起见，更改服务器用户密码是必要的。但要彻底防止挖矿，还需定期更新系统，安装杀毒软件，使用复杂密码，提升防火墙设置，关闭不必要的服务端口，限制文件系统访问，并持续监控服务器活动。

通过上述分析和清除，虽然暂时解决了当前问题，但防范措施的全面实施是防止未来再次遭受挖矿攻击的关键。

㈤ 服务器被检测出挖矿

有位朋友说，他服务器使用的好好的，服务商突然封了他服务器，说是被检测出挖矿，这位朋友一脸懵“我开游戏的，挖什么矿”。突然地关停服务器导致这位朋友损失惨重，那么为什么会被检测出挖矿，以及怎么处理呢？感兴趣的话就继续往下看吧~

遇到以上问题，需要先找服务器商对其说明实际情况，配合他们排查，基本上就是中了挖矿病毒。

最简单的方法就是重装系统，但是系统盘数据都会清空，这种办法适用于服务器里没什么需要备份的文件。如果选择重装系统，需要把自己的文件扫毒一遍确认安全后再导入服务器。

但是服务器里如果有很多重要的文件还有比较难配置的环境，那就需要排查删除挖矿程序，全盘扫毒，删除可疑文件，一个个修复病毒对系统的修改。

防范建议：

1.尽量不要使用默认密码和端口，改一个比较复杂的密码

2.可以使用宝塔面板登陆服务器

3.系统自带的防火墙、安全防护都不要关闭

㈥ 分析与清除服务器上的挖矿程序

服务器运行时遭遇了异常，CPU占用率飙升且显存占用异常，初步怀疑是挖矿程序入侵。针对这一问题，本文将详细分析并清理此类恶意程序。

首先，通过top或htop命令，我们发现PID为3701992的进程占用CPU高达4004%，显示出异常。其进程特征表现为拥有大量子进程，这是挖矿程序典型的表现。

挖矿程序通常需要与外界通信，查看服务器网络连接，该进程与美国IP地址74.119.193.47有交互，进一步确认了挖矿行为。在/home/ubuntu/.cache/目录下，发现了名为upd的定时任务，每分钟运行一次，疑似挖矿脚本的源头。

检查其他自启动服务和脚本并未发现异常，但在挖矿脚本所在的目录中，存在可疑的可执行程序和脚本，如run、a和x，它们的文件内容显示了挖矿程序的运行逻辑，如启动新的挖矿进程，写入进程ID，以及创建定时任务等。

为了清除挖矿程序，首先，删除所有涉及的脚本和程序，包括.cache目录中的文件。接着，利用top命令终止异常进程，使得CPU使用率恢复正常。防火墙方面，将可疑IP加入黑名单，防止再次被入侵。同时，确保防火墙允许SSH连接以保持服务器管理。

为了彻底防护，建议定期修改服务器密码，保持系统补丁更新，安装杀毒软件，使用强密码，增强防火墙设置，关闭不必要的服务端口，并限制文件系统的访问权限。这些措施将有助于预防未来的挖矿行为。

㈦ 网警怎么查单位电脑挖矿

每部电脑挨个排查。
挖矿软件会占用电脑的大量运算资源和电力资源，而且会引起主管部门的关注。局域网内有电脑被安装了挖矿软件是一件让人很头疼的事情，对成百上千台电脑一台一台的进行排查简直就和大海捞针一样，需要耗费大量的时间和人力。因为局域网出口做了NAT网络地址转换，上级部门只能检测到公司的公网IP，所以只能靠公司内部的网管人员来排查具体的终端了。最笨的办法就是一台电脑一台电脑的检查，通过检查程序列表和任务管理器来找挖矿程序。
电脑挖矿通常是指比特币挖矿机，就是用于赚取比特币的电脑。这类电脑一般有专业的挖矿芯片，多采用烧显卡的方式工作，耗电量较大。用户用个人计算机下载软件然后运行特定算法，与远方服务器通讯后可得到相应比特币，是获取比特币的方式之一。