挖矿病毒代码

Ⅰ 服务器被攻击并植入kdevtmpfsi挖矿/病毒/木马

MongoDB库中的数据莫名其妙没有了，发觉如下信息：

1、 top -d 5命令 ，查看系统负载情况、是否有未知进程，发现一个名为kdevtmpfsi的进程，经科普它是一个挖矿程序，会占用服务器高额的CPU、内存资源。如图，CPU占用率高达788.7%，而且是yarn用户下：

2、 ps -ef |grep kdevtmpfsi 命令查看 该挖矿程序路径：/tmp/kdevtmpfsi

3、 ps -ef |grep yarn 命令查看更多关于yarn相关进程信息（此时我的服务器并没有开启yarn服务，如果有yarn的相关进程则可判断是攻击者开启的进程），发现另外还有个kinsing进程，经科普kinsing进程是kdevtmpfsi的守护进程：

4、 netstat -lntupaa 命令查看是否有异常的ip,果然发现194.87.102.77这个陌生的ip，判断是kdevtmpfsi的发出者：

5、经查询该ip的所在国家是俄罗斯：

6、 find / -iname kdevtmpfsi 命令再次确定命令所在位置以便删除：

7、 cd /tmp 进入相关目录：

8、 rm -rf kdevtmpfsi 删除kdevtmpfsi程序：

9、** kill -9 40422**杀掉kdevtmpfsi进程：

10、发现并没杀掉所有kdevtmpfsi进程，再次查找yarn的相关进程（因为之前已确认病毒是在yarn下），果真还有kdevtmpfsi进程存在：

11、用命令 批量杀掉 相关进程：

12、删除kinsing文件：

13、现在，已经把挖矿程序及相关进程删除掉了，但是还有两处没做处理：

14、 crontab -l 命令先看看crontab的定时任务列表吧：

15、编写删除挖矿程序脚本 kill_kdevtmpfsi.sh ：

16、新增 定时任务 并删除攻击者的挖矿定时任务：

17、 crontab -l命令 查看现在只有杀进程的定时任务了：

18、禁止黑客的IP地址。

最初安装MongoDB时，并未设置密码认证，存在漏洞，导致黑客通过漏洞攻击服务器，并在程序里植入木马/病毒。单纯的kill -9 id杀掉病毒进程是杀不彻底的，治标不治本，应该定时删除病毒进程，禁止攻击者IP，重新安装系统或相关软件。

经过几天的观察，服务器运行正常，再没有被黑客攻击成功。

Ⅱ 电脑中了某挖矿病毒，应该怎么查杀

电脑中病毒，那么最好的解决办法就是格式化系统盘或是全盘，或是重新分区后重装系统，通过系统光盘或是制作的u盘启动盘来安装，通过快捷键或是进入bios中设置开机启动项从cd或是usb启动然后安装系统，这样电脑就可以恢复正常使用运行的

Ⅲ 服务器被rshim挖矿病毒攻击后 HugePages_Total 透明大页怎么都清不掉 一直占用内存 球球

问题定位及解决步骤：

1、free -m 查看内存使用状态 ，发现free基本没了。--> 怀疑是服务有内存泄漏，开始排查

2、使用top命令观察，开启的服务占用内存量并不大，且最终文档在一个值，且服务为java应用，内存并没达到父jvm设置上限。按top监控占用内存排序，加起来也不会超过物理内存总量。查看硬盘使用量，占用20%。基本排除虚拟内存占用过大的原因。--->排除服务内存泄漏因素，怀疑mysql和nginx，开始排查

3、因为top命令看 mysql占用内存也再可控范围，是否存在connection占用过多内存，发现并不会，设置最大连接数为1000，最多也不会超过几M。 nginx占用一直非常小。但每次最先被kill的基本都是nginx进程。所以排查，但发现无非就是openfiles数量啥的调整。发现也一切正常。且之前niginx可以正常使用的。

4、最为费解的就是 通过free -m 查看的时候 基本全是used，cache部分很少，free基本没有。但top上又找不到有哪些进程占用了内存。无解

5、注意到有两个进程虽占用内存不多，但基本耗光了100%的cpu。开始想着占cpu就占了，没占内存，现在是内存不不够导致进程被kill的，就没注意这点。

6、实在搞不定，重启服务器，重启了所有服务，服务暂时可用，回家。在路上的时候发现又崩了。忐忑的睡觉。

7、早上起来继续看，这次留意注意了下那两个占用高cpu的进程，kdevtmpfsi 和 networkservice。本着看看是啥进程的心态，网络了下。真相一目了然，两个挖矿病毒。

突然后知后觉的意识到错误原因：

1、cpu占用率高，正常服务使用cpu频率较高的服务最容易最内存超标。（因为在需要使用cpu时没cpu资源，内存大量占用，服务瞬间崩溃），然后看top发现刚刚已经占用内存的进程已经被kill了，所以没发现内存有高占用的情况。
2、后面的应用继续使用cpu时也会发生类似情况，倒是服务一个一个逐渐被kill。

问题点基本定位好了，解决问题就相对简单很多：
通过网络，google，常见的病毒清除步骤基本都能解决。这两个挖矿病毒很常见，大致记录下要点。可能所有病毒都会有这些基础操作。

① 首先，查看当前系统中的定时任务：crontab -l
我服务器上有四个定时下载任务 通过wget 和 curl 下载病毒文件，把异常的删掉。要不然删了病毒文件还是会下载下来
crontab -r，全部删除命令（或根据需求删除定时任务）

② 查找病毒文件 可以全部模糊搜索 清除， 但病毒文件基本都用了chattr +i命令 使用chattr -i filename 后再使用rm -f filename 。可删除

③ kill 病毒进程，但注意kill了可能马上就重启了。因为有守护进程，需要把病毒进程的守护进程也kill掉

④ 检查是否root用户被攻击，可能系统配置信息被更改。

⑤ 最好能理解病毒脚本，通过看代码看它做了些什么。针对脚本取修复系统。

Ⅳ 挖矿病毒

自从比特币火起来以后，运维和安全同学就经常受到挖矿病毒的骚扰，如果有人说机器cpu被莫名其妙的程序占用百分之八十以上，大概率是中了挖矿病毒。

说说挖矿病毒的几个特点：

一、cpu占用高，就是文中一开始所说的，因为挖矿病毒的目的就是为了让机器不停的计算来获利，所以cpu利用率都会很高。

二、进程名非常奇怪，或者隐藏进程名。发现机器异常以后，使用top命令查看，情况好的能看到进程名，名字命名奇怪，我见过的linux上中毒的是以. exe命名的程序。对于隐藏进程名这种情况，找起来就更加费事了，需要查看具备linux相关的系统知识。

三、杀死后复活，找到进程之后，用kill命令发现很快就会复活，挖矿病毒一般都有守护进程，要杀死守护进程才行。

四、内网环境下，一台机器被感染，传播迅速，很快会感染到其他机器。

挖矿病毒的防御

挖矿病毒最好的防御重在平时安全规范，内网机器不要私自将服务开放到公司，需要走公司的统一接口，统一接口在请求进入到内网之前，会有安全措施，是公司入口的第一道安全门。还有就是公司内网做好隔离，主要是防止一个环境感染病毒，扩散到全网。

对于已经感染的情况，可以通过dns劫持病毒访问的域名，公网出口过滤访问的地址，这些手段是防止病毒扩大的手段，对于已经感染的机器，只能通过开始讲的几种方法找到并杀死病毒了。

Ⅳ 挖矿病毒是一段代码或者一个软件

“挖矿”病毒是一段代码或者一个软件，伪装成一个正常文件进入受害者的电脑。
病毒利用主机或者操作系统的高危漏洞，并结合高级攻击技术在局域网内传播，控制电脑进行大量的计算机运算来获取虚拟货币。“挖矿”病毒会消耗大量的计算机处理资源。

Ⅵ 服务器上如何清除NrsMiner挖矿病毒

挖矿病毒完整清除过程如下，请在断网情况下进行：

1.停止并禁用Hyper-VAccess Protection Agent Service服务；

2.删除C:Windowssystem32NrsDataCache.tlb；

3.删除C:.dll，若删除失败，可重命名该文件为其他名称；

4.重启计算机；

5.删除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目录；

6.删除C:Windowssystem32SecUpdateHost.exe。

7.到微软官方网站下载对应操作系统补丁，下载链接如下：https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

8.安装国内主流杀毒软件，及时更新至最新病毒特征库。

Ⅶ 挖矿病毒怎么处理

挖矿病毒处理步骤如下：

1、查看服务器进程运行状态查看服务器系统整体运行情况，发现名为kdevtmpfsi的挖矿进程大量占用系统CPU使用率。

2、查看端口及外联情况查看端口开放状态及外联情况，发现主机存在陌生外联行为。对该外部地址进行查询发现属于国外地址，进一步确定该进程为恶意挖矿进程：定位挖矿进程及其守护进程PID挖矿病毒kdevtmpfsi在运行过程中不仅会产生进程kdevtmpfsi。

6、查看redis日志通过查看redis配置文件/etc/redis.conf发现日志功能未开启。

7、查找敏感文件发现authorized_keys文件。

8、查看ssh日志文件查看ssh日志文件，发现大量登陆痕迹以及公钥上传痕迹。

Ⅷ 联想G470，因为中了挖矿病毒（产生比特币的）最近重装了下系统，但是重装系统之后，一打开网页就死机蓝屏

说明重装的镜像也中了病毒，需要换个镜像试试，用没有病毒的U盘进入PE格式C盘后再ghost，一般就不会再出现以上问题了！

Ⅸ 挖矿木马类型： virus.js.qexvmc.1 描述： 恶意软件是对病毒、木马、蠕虫、后门程序等危害用户计算机及

朋友你好，有些病毒在正常模式下是杀不掉的，你可以如下操作试试：（1）重启后，F8 进带网络安全模式（2）用360安全卫士依次进行：清除插件、清除垃圾、清除痕迹、系统修复、高级工具“开机启动项管理”一键优化、使用“木马查杀”杀木马，用360杀毒全盘杀毒。如果还没清除用下以方案：（3）重新启动，F8 进带网络安全模式（4）用360系统急救箱试一试 ，希望能帮助你

Ⅹ powershell病毒解决办法有什么

这是挖矿病毒，360有专门的杀毒工具清除，查杀前先把网络断开。

powershell.exe是木马。

木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。

木马病毒其实是计算机黑客用于远程控制计算机的程序，将控制程序寄生于被控制的计算机系统中，里应外合，对被感染木马病毒的计算机实施操作。

一般的木马病毒程序主要是寻找计算机后门，伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性，可以根据黑客意图突然发起攻击。