挖矿服务器排查

Ⅰ 网警怎么查单位电脑挖矿

每部电脑挨个排查。
挖矿软件会占用电脑的大量运算资源和电力资源，而且会引起主管部门的关注。局域网内有电脑被安装了挖矿软件是一件让人很头疼的事情，对成百上千台电脑一台一台的进行排查简直就和大海捞针一样，需要耗费大量的时间和人力。因为局域网出口做了NAT网络地址转换，上级部门只能检测到公司的公网IP，所以只能靠公司内部的网管人员来排查具体的终端了。最笨的办法就是一台电脑一台电脑的检查，通过检查程序列表和任务管理器来找挖矿程序。
电脑挖矿通常是指比特币挖矿机，就是用于赚取比特币的电脑。这类电脑一般有专业的挖矿芯片，多采用烧显卡的方式工作，耗电量较大。用户用个人计算机下载软件然后运行特定算法，与远方服务器通讯后可得到相应比特币，是获取比特币的方式之一。

Ⅱ 分析与清除服务器上的挖矿程序

服务器运行时遭遇了异常，CPU占用率飙升且显存占用异常，初步怀疑是挖矿程序入侵。针对这一问题，本文将详细分析并清理此类恶意程序。

首先，通过top或htop命令，我们发现PID为3701992的进程占用CPU高达4004%，显示出异常。其进程特征表现为拥有大量子进程，这是挖矿程序典型的表现。

挖矿程序通常需要与外界通信，查看服务器网络连接，该进程与美国IP地址74.119.193.47有交互，进一步确认了挖矿行为。在/home/ubuntu/.cache/目录下，发现了名为upd的定时任务，每分钟运行一次，疑似挖矿脚本的源头。

检查其他自启动服务和脚本并未发现异常，但在挖矿脚本所在的目录中，存在可疑的可执行程序和脚本，如run、a和x，它们的文件内容显示了挖矿程序的运行逻辑，如启动新的挖矿进程，写入进程ID，以及创建定时任务等。

为了清除挖矿程序，首先，删除所有涉及的脚本和程序，包括.cache目录中的文件。接着，利用top命令终止异常进程，使得CPU使用率恢复正常。防火墙方面，将可疑IP加入黑名单，防止再次被入侵。同时，确保防火墙允许SSH连接以保持服务器管理。

为了彻底防护，建议定期修改服务器密码，保持系统补丁更新，安装杀毒软件，使用强密码，增强防火墙设置，关闭不必要的服务端口，并限制文件系统的访问权限。这些措施将有助于预防未来的挖矿行为。

Ⅲ 分析与清除服务器上的挖矿程序

服务器运行突然变慢，CPU和显存占用异常，疑似遭遇挖矿攻击。接下来，我们将从分析和消除两个步骤来处理这个问题。

首先，通过top或htop命令，发现PID为3701992的进程占用CPU高达4004%，显示异常。进一步观察，该进程拥有大量子进程，这是挖矿程序典型特征。检查服务器对外网络连接，发现在本地活动的进程与美国IP 74.119.193.47有交互。

深入调查，发现在/home/ubuntu/.cache目录下的upd程序每隔一分钟执行一次，可能是挖矿脚本。查看自启动服务，未发现异常。挖矿脚本所在的目录中有可疑的可执行程序和脚本。其中，'upd'脚本读取进程ID并发送信号，'run'脚本则负责重启挖矿进程。确认h32和h64是挖矿程序后，我们有了确凿证据。

在清理阶段，首先移除定时任务，删除所有挖矿程序和脚本，包括.cache下的文件。确保所有挖矿进程已终止，CPU使用率恢复正常。为了阻止进一步入侵，将攻击者IP加入防火墙黑名单，确保SSH连接的畅通。

安全起见，更改服务器用户密码是必要的。但要彻底防止挖矿，还需定期更新系统，安装杀毒软件，使用复杂密码，提升防火墙设置，关闭不必要的服务端口，限制文件系统访问，并持续监控服务器活动。

通过上述分析和清除，虽然暂时解决了当前问题，但防范措施的全面实施是防止未来再次遭受挖矿攻击的关键。

Ⅳ 求助服务器被挖矿程序入侵，如何排查

新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接

服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般

会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这

就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客

户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，

仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查

当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病

毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，

客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击

状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开

发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重

的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，

SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器

一切稳定运行，网站打开正常。