怎麼查看挖礦的進程

Ⅰ top cpu飆高,中了挖礦程序----解決方法

1.發現cpu異常,查看對應的進程信息

2.查看進程發現是挖礦進程在執行

3.確定是挖礦病毒,查看進程的執行文件鏈接到哪裡,發現是jenkins的工作目錄,最後結果發現是jenkins的漏洞導致自動創建CI計劃,進行啟動挖礦腳本

4.查看虛機密碼是否被破解登錄

5.查找挖礦文件

6.檢查定時任務腳本

jenkins CVE-2018-1999002 漏洞修復: https://paper.seebug.org/648/
jenkings漏洞利用: https://xz.aliyun.com/t/4756
CI安全隱患: https://www.jianshu.com/p/8939aaec5f25
jenkins漏洞描述地址: https://www.cyberark.com/threat-research-blog/tripping-the-jenkins-main-security-circuit-breaker-an-inside-look-at-two-jenkins-security-vulnerabilities/

Ⅱ 怎麼知道自己的電腦，是不是在幫別人挖礦

經常查看系統進程和CPU使用率，一般電腦裝了360以後桌面會有個懸浮窗，看看這個有沒有異常就知道了

Ⅲ 鐢佃剳琚鎸栫熆鎬庝箞鍔

鐢佃剳琚鎸栫熆鏄涓縐嶆伓鎰忕▼搴忚鍑伙紝鐭垮伐紼嬪簭浼氬埄鐢ㄧ數鑴戠殑璁＄畻鑳藉姏鏉ユ寲鎺樺姞瀵嗚揣甯侊紝浠庤岀洍鍙栬＄畻鑳藉姏銆傝繖縐嶆敾鍑諱細娑堣楀ぇ閲忕殑璁＄畻鑳藉姏鍜岀數鍔涜祫婧愶紝瀵艱嚧鐢佃剳榪愯岀紦鎱錛屼笖鍗卞蟲у緢澶с傚傛灉浣犵殑鐢佃剳琚鎸栫熆浜嗭紝閭ｄ箞浣犲簲璇ラ噰鍙栦互涓嬫ラゆ潵瑙ｅ喅錛

1. 鎵鎻忕棶姣
棣栧厛錛屼綘闇瑕佽繍琛屾潃姣掕蔣浠舵潵鎵鎻忕棶姣掋傛潃姣掕蔣浠跺彲浠ヨ瘑鍒鍜屾竻闄ょ熆宸ョ▼搴忓拰鍏朵粬鎮舵剰杞浠躲傚傛灉浣犳病鏈夊畨瑁呮潃姣掕蔣浠訛紝閭ｄ箞浣犻渶瑕佸畨瑁呬竴涓鏉ヤ繚鎶や綘鐨勭數鑴戙傛敞鎰忥紝浣犻渶瑕佸畾鏈熸洿鏂頒綘鐨勬潃姣掕蔣浠訛紝浠ヤ究淇濇寔鍏舵渶鏂扮殑鐥呮瘨瀹氫箟銆
2. 鏌ユ壘騫跺仠姝㈣繘紼
涓鏃︽潃姣掕蔣浠舵嫻嬪埌鐥呮瘨錛屼綘闇瑕佹墜鍔ㄦ煡鎵懼苟鍋滄㈢浉鍏崇殑榪涚▼銆傝繘紼嬪彲浠ラ氳繃浠誨姟綆＄悊鍣ㄦ垨鍏朵粬榪涚▼綆＄悊宸ュ叿鏉ユ煡鎵俱備竴鏃︽壘鍒頒簡鐭垮伐紼嬪簭鐨勮繘紼嬶紝浣犻渶瑕佸仠姝㈠畠錛屼互闃叉㈠叾緇х畫娑堣椾綘鐨勮＄畻鑳藉姏銆
3. 鏇存敼瀵嗙爜
濡傛灉浣犵殑鐢佃剳琚鏀誨嚮錛岄偅涔堟湁鍙鑳芥槸鍥犱負浣犵殑瀵嗙爜琚鐩楋紝鎴栬呬綘鐨勭數鑴戝畨鍏ㄦ帾鏂戒笉瓚熾傛墍浠ワ紝浣犻渶瑕佹洿鏀逛綘鐨勫瘑鐮侊紝騫舵彁楂樹綘鐨勫畨鍏ㄦ帾鏂斤紝鍖呮嫭瑙ｉ攣浣犵殑闃茬伀澧欏拰鍏抽棴榪滅▼妗岄潰榪炴帴絳夈
4. 鏇存柊杞浠
鐭垮伐紼嬪簭鍜屽叾浠栨伓鎰忚蔣浠墮氬父浼氬埄鐢ㄥ畨鍏ㄦ紡媧炴潵鏀誨嚮浣犵殑鐢佃剳銆傝侀伩鍏嶈繖縐嶆儏鍐碉紝浣犻渶瑕佸畾鏈熸洿鏂頒綘鐨勮蔣浠跺拰緋葷粺銆傛洿鏂板彲浠ヤ慨澶嶅凡鐭ョ殑瀹夊叏婕忔礊銆
5. 澶囦喚鏁版嵁
鏈鍚庯紝浣犻渶瑕佸囦喚浣犵殑鏁版嵁銆傚囦喚鍙浠ヤ繚鎶や綘鐨勯噸瑕佹枃浠跺拰鏁版嵁鍏嶅彈鎹熷潖鍜屼涪澶便備綘鍙浠ュ皢鏁版嵁澶囦喚鍒頒簯瀛樺偍鎴栧栭儴瀛樺偍鍣ㄤ腑銆
鎬葷粨
鐢佃剳琚鎸栫熆鏄涓縐嶅父瑙佺殑鎮舵剰紼嬪簭鏀誨嚮錛屽畠浼氬嵄鍙婁綘鐨勮＄畻鑳藉姏鍜岀數鍔涜祫婧愩傚傛灉浣犵殑鐢佃剳琚鏀誨嚮錛屼綘闇瑕佽繍琛屾潃姣掕蔣浠舵潵鎵鎻忕棶姣掞紝騫舵壘鍒板苟鍋滄㈢浉鍏崇殑榪涚▼銆備綘榪橀渶瑕佹洿鏀逛綘鐨勫瘑鐮侊紝鏇存柊浣犵殑杞浠跺拰緋葷粺錛屽苟澶囦喚浣犵殑鏁版嵁銆備互涓婅繖浜涙ラゅ彲浠ュ府鍔╀綘瑙ｅ喅鐢佃剳琚鎸栫熆鐨勯棶棰橈紝浠ュ府鍔╀綘淇濇姢浣犵殑鐢佃剳鍜屾暟鎹銆

Ⅳ 挖礦病毒分析（centos7）

rm -rf /root/.ssh/*
如果有配置過密鑰認證，需要刪除指定的黑客創建的認證文件即可。
ls /proc/10341 查看進程文件

該腳本執行了 /xm 腳本，並且總是會重啟服務。如果此程序不進行清除，即使殺死了對應的進程，過一會還是會執行重新創建，又導致伺服器異常。

因此，先停止啟動腳本配置項：

systemctl disable name.service
刪除腳本：

rm -rf /etc/systemd/system/xm.service

5,啟動腳本刪除完後，刪除相應的程序
ps -ef|grep xmrig
ps -ef|grep javs

kill 9 pid

ls /proc/10341

Ⅳ 伺服器被攻擊並植入kdevtmpfsi挖礦/病毒/木馬

MongoDB庫中的數據莫名其妙沒有了，發覺如下信息：

1、 top -d 5命令 ，查看系統負載情況、是否有未知進程，發現一個名為kdevtmpfsi的進程，經科普它是一個挖礦程序，會佔用伺服器高額的CPU、內存資源。如圖，CPU佔用率高達788.7%，而且是yarn用戶下：

2、 ps -ef |grep kdevtmpfsi 命令查看 該挖礦程序路徑：/tmp/kdevtmpfsi

3、 ps -ef |grep yarn 命令查看更多關於yarn相關進程信息（此時我的伺服器並沒有開啟yarn服務，如果有yarn的相關進程則可判斷是攻擊者開啟的進程），發現另外還有個kinsing進程，經科普kinsing進程是kdevtmpfsi的守護進程：

4、 netstat -lntupaa 命令查看是否有異常的ip,果然發現194.87.102.77這個陌生的ip，判斷是kdevtmpfsi的發出者：

5、經查詢該ip的所在國家是俄羅斯：

6、 find / -iname kdevtmpfsi 命令再次確定命令所在位置以便刪除：

7、 cd /tmp 進入相關目錄：

8、 rm -rf kdevtmpfsi 刪除kdevtmpfsi程序：

9、** kill -9 40422**殺掉kdevtmpfsi進程：

10、發現並沒殺掉所有kdevtmpfsi進程，再次查找yarn的相關進程（因為之前已確認病毒是在yarn下），果真還有kdevtmpfsi進程存在：

11、用命令 批量殺掉 相關進程：

12、刪除kinsing文件：

13、現在，已經把挖礦程序及相關進程刪除掉了，但是還有兩處沒做處理：

14、 crontab -l 命令先看看crontab的定時任務列表吧：

15、編寫刪除挖礦程序腳本 kill_kdevtmpfsi.sh ：

16、新增 定時任務 並刪除攻擊者的挖礦定時任務：

17、 crontab -l命令 查看現在只有殺進程的定時任務了：

18、禁止黑客的IP地址。

最初安裝MongoDB時，並未設置密碼認證，存在漏洞，導致黑客通過漏洞攻擊伺服器，並在程序里植入木馬/病毒。單純的kill -9 id殺掉病毒進程是殺不徹底的，治標不治本，應該定時刪除病毒進程，禁止攻擊者IP，重新安裝系統或相關軟體。

經過幾天的觀察，伺服器運行正常，再沒有被黑客攻擊成功。

Ⅵ 記一次解決挖礦病毒的過程（sysupdate、networkservice）

我也是有一段時間伺服器變的很卡，那時我還以為是我自己的軟體裝太多導致的問題，不看不知道，看了嚇一跳，伺服器已經被攻擊了，接下來，我來分享下如何查找和解決這個病毒。

當發現伺服器卡的時候，我們可以採用top命令，如下顯示

我們注意看以上這幾個進程，沒稍加註意的話，我們還以為這幾個是正常的進程，為啥呢？

1、畢竟這幾個的user是apache、www、nobody，因為我的web站點，文件目錄是www目錄，所以這個地方很容易被誤認為就是我們的站點目錄，而且apache本來是web服務，它取成了這個名詞，也容易混淆我們的視野。
2、後面的command名稱取成了networkservice 和sysupdate，名稱很像我們的系統進程，
3、每個進程的cpu佔用都比較小，平均差不多20%個cpu，可是這么多進程加起來，CPU佔用就爆炸了，將近100%了

從上面這個地方可以發現這個攻擊者很聰明，懂得用這種名稱來混淆我們的視野

從上面的top命令知道了這幾個佔用比較大的進程號，我們可以根據其中的某個進程，比如7081入手，來查找其他關聯的進程，使用以下命令，如下圖所示

進入到/etc目錄下，
我們可以看到有sysupdate、networkservice、sysguard三個文件，這三個文件都是二進制文件，這三個應該就是挖礦的主程序和守護程序。還有一個update.sh文件，這應該是對挖礦病毒升級用的。這個update.sh怎麼找出來的呢，其實是通過定時程序裡面的cron找出來的。

再進入到 /var/spool/cron看下定時程序
如下圖所示

可以看到這幾個文件名稱，和剛剛佔用cpu高的進程user，名稱是一樣的

這樣就可以確認的確是病毒攻擊了伺服器

1、刪除所有的定時程序
進入到/etc/crontab、/var/spool/cron/root、/var/spool/cron/crontabs/root等目錄中，刪除其中的定時腳本。
也要記得刪除定時任務，crontab -e，刪除其中的腳本

2、殺掉進程，並刪除文件
以下這幾張圖片的進程id，分別進行kill殺掉

然後刪除/etc下面的 sysupdate、networkservice、sysguard、update.sh和config.json幾個文件
這時候，你可能會發現無法刪除，因為病毒使用了chattr +i 命令，使用如下命令即可刪除

每個無法刪除的文件，都執行如上命令，即可實現刪除文件

3、/root/.ssh/authorized_keys 刪除
可能攻擊者已經在這里配置了登陸，攻擊者可以隨便登陸你的伺服器，你這里要把秘鑰也修改下
經過這些處理後，可以發現我們的伺服器已經不再卡了，如下，沒有佔用高的程序了

轉自： https://www.jianshu.com/p/b99378f0cf8f

Ⅶ 怎樣知道電腦被挖礦

電腦異常運行緩慢，經常異常死機/卡機，什麼都沒打開但是cpu佔用率非常高，網路緩慢，出現大量網路請求。就需要去檢查一下是否中了挖，畢竟現在很流行的。

首先需要先查看計算機的耗電情況，我一般選擇安裝魯大師。這個比較方便的掌握電腦的硬體情況，看看cpu和系統的溫度很方便的。

然後再檢查啟動後的系統資源使用情況，有沒有異常和較高的內存和cpu的佔用情況。Crtl + Alt + Del 即可進入「Windows任務管理器」，「應用程序」---「進程」---「性能」，都是查看系統資源佔用狀況的。或者：用滑鼠點擊「開始」，在「運行」里輸入：msconfig，也可以進入同樣的窗口。

最後在進程里看有沒有不熟悉的進程，發現了到網上搜索一下，基本就可以確定有沒有了。

檢測電腦是否被挖礦方法
挖礦主要利用的是高級顯卡，這樣效率最高，所以我們只需要監看GPU以及CPU的使用率即可發現。回到主界面，滑鼠右鍵單擊開始按鈕，如下圖所示

2在開始右鍵菜單點擊任務管理器，如下圖所示

3進入任務管理器，先看看運行程序有無cpu使用率極高的，如下圖所示

4在任務管理器點擊性能選項卡，如下圖所示

5進入性能選項卡，點擊下面的GPU，一般有2個，分別是集成顯卡和獨立顯卡，如下圖所示

6正常情況，集成顯卡利用率很低，圖形游戲或大型繪圖軟體才會調用獨立顯卡，如下圖所示

7接著我們看獨立顯卡，默認情況下，獨立顯卡是不使用的，如果你發現游戲，工程軟體沒開，獨立顯卡利用率比較高，那就是被挖礦的，電腦正常，獨立顯卡是休息狀態，

Ⅷ 如何把右下角挖礦測試去除

一種是使用雲安全中心自動清理，另一種是手動清除。登錄到雲安全中心控制台左側欄，選擇威脅檢測，安全告警處理在安全告警處理列表中，找到挖礦程序，然後點處理雲安全中心安全告警處理然後根據提示一步步操作即可。

去除的方法

手動清除挖礦程序護雲盾以Linux伺服器為例，按照以下步驟排查及處理查看挖礦進程的執行PID，命令表示該進程的PID。清除挖礦進程的執行文件，在高CPU消耗的進程中定位到挖礦進程，並殺死該進程。

檢查雲伺服器的防火牆中是否存在挖礦程序的礦池地址，可疑通信地址和開放埠，命令iptablesLn執行以下命令清除惡意礦池地址vietcsysconfigiptables排查是否存在定時任務crontabl根據排查的結果，對可疑的定時任務文件進行清理，防止二次入侵。

Ⅸ 如何用Linux伺服器挖礦教程

今天早上起來一看，伺服器腳本一個都沒有啟動!甚是奇怪，遠程登錄伺服器，也是異常的卡，直到最後卡死，只好重新啟動伺服器!
啟動之後沒一會又會變卡，越來越卡，top查看進程！不覺又奇怪的進程，因為平常也不經常看！所以自己也搞不明白怎麼回事兒！只好到群里問了問，說是被挖礦的掛了木馬文件了，是由於redis的漏洞!
後來我自己發現，原來redis遠程可以直接登錄，原以為redis和mysql不開放登錄許可權就不會支持遠程登錄呢，看來是我想多了
看了好長時間才發現一個異常的進程，自啟的進程 molibe ！
找到進程位置 ps -ef|grep molibe ;
在tmp目錄下，打開一看的確是有
chmod -x molibe 取消執行許可權在來到/var/spool/cron下，cat root 查看定時器的執行發現之前腳本都被改了，顧不得刪除cron，service crond restart 重新啟動,再有就時kill 掉molibe進程
這樣大概整個就結束了！但是根本是因為redis漏洞，所以還是補上吧
首先修改redis'埠,找到redis.conf文件 port **** 修改埠號再有就是必須修改密碼 # requirepass ******** 去除#號重新啟動 /redis/src/redis-server /redis/redis-conf
啟動成功之後
redis/redis-cli -p ****(埠) -a *****(密碼)