挖矿病毒需要打什么补丁

A. 最近的比特币病毒，win2008打补丁，打不上！！！！求教

1. 设置好虚拟内存（1024M）后重启服务器，并重新将iis、mysql、sqlserver这些服务停止再重新更新安装补丁

2. 语言包不支持

3. 系统是否激活，正式版
   

4. 更新Windows Installer版本

5. 系统有关更新安装的服务关闭，类似于windows installer ，windows update。

6. 查看是否已有补丁 win2008R2补丁 KB4012212、KB4012215
   
   

B. 服务器上如何清除NrsMiner挖矿病毒

挖矿病毒完整清除过程如下，请在断网情况下进行：

1.停止并禁用Hyper-VAccess Protection Agent Service服务；

2.删除C:Windowssystem32NrsDataCache.tlb；

3.删除C:.dll，若删除失败，可重命名该文件为其他名称；

4.重启计算机；

5.删除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目录；

6.删除C:Windowssystem32SecUpdateHost.exe。

7.到微软官方网站下载对应操作系统补丁，下载链接如下：https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

8.安装国内主流杀毒软件，及时更新至最新病毒特征库。

C. 服务器被检测出挖矿

有位朋友说，他服务器使用的好好的，服务商突然封了他服务器，说是被检测出挖矿，这位朋友一脸懵“我开游戏的，挖什么矿”。突然地关停服务器导致这位朋友损失惨重，那么为什么会被检测出挖矿，以及怎么处理呢？感兴趣的话就继续往下看吧~

遇到以上问题，需要先找服务器商对其说明实际情况，配合他们排查，基本上就是中了挖矿病毒。

最简单的方法就是重装系统，但是系统盘数据都会清空，这种办法适用于服务器里没什么需要备份的文件。如果选择重装系统，需要把自己的文件扫毒一遍确认安全后再导入服务器。

但是服务器里如果有很多重要的文件还有比较难配置的环境，那就需要排查删除挖矿程序，全盘扫毒，删除可疑文件，一个个修复病毒对系统的修改。

防范建议：

1.尽量不要使用默认密码和端口，改一个比较复杂的密码

2.可以使用宝塔面板登陆服务器

3.系统自带的防火墙、安全防护都不要关闭

D. 鎸栫熆鐥呮瘨鎬庝箞澶勭悊

鎸栫熆鐥呮瘨澶勭悊姝ラゅ備笅锛

1銆佹煡鐪嬫湇鍔″櫒杩涚▼杩愯岀姸鎬佹煡鐪嬫湇鍔″櫒绯荤粺鏁翠綋杩愯屾儏鍐碉紝鍙戠幇鍚嶄负kdevtmpfsi鐨勬寲鐭胯繘绋嬪ぇ閲忓崰鐢ㄧ郴缁烠PU浣跨敤鐜囥

2銆佹煡鐪嬬鍙ｅ強澶栬仈鎯呭喌鏌ョ湅绔鍙ｅ紑鏀剧姸鎬佸強澶栬仈鎯呭喌锛屽彂鐜颁富鏈哄瓨鍦ㄩ檶鐢熷栬仈琛屼负銆傚硅ュ栭儴鍦板潃杩涜屾煡璇㈠彂鐜板睘浜庡浗澶栧湴鍧锛岃繘涓姝ョ‘瀹氳ヨ繘绋嬩负鎭舵剰鎸栫熆杩涚▼锛氬畾浣嶆寲鐭胯繘绋嬪強鍏跺畧鎶よ繘绋婸ID鎸栫熆鐥呮瘨kdevtmpfsi鍦ㄨ繍琛岃繃绋嬩腑涓嶄粎浼氫骇鐢熻繘绋媖devtmpfsi銆

6銆佹煡鐪媟edis鏃ュ織閫氳繃鏌ョ湅redis閰嶇疆鏂囦欢/etc/redis.conf鍙戠幇鏃ュ織鍔熻兘鏈寮鍚銆

7銆佹煡鎵炬晱鎰熸枃浠跺彂鐜癮uthorized_keys鏂囦欢銆

8銆佹煡鐪媠sh鏃ュ織鏂囦欢鏌ョ湅ssh鏃ュ織鏂囦欢锛屽彂鐜板ぇ閲忕櫥闄嗙棔杩逛互鍙婂叕閽ヤ笂浼犵棔杩广

E. 比特币病毒是什么来的

根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

1、为计算机安装最新的安全补丁，微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快安装此安全补丁；对于windows
XP、2003等微软已不再提供安全更新的机器，可使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。

2、关闭445、135、137、138、139端口，关闭网络共享。

3、强化网络安全意识：不明链接不要点击，不明文件不要下载，不明邮件不要打开……

4、尽快（今后定期）备份自己电脑中的重要文件资料到移动硬盘、U盘，备份完后脱机保存该磁盘。

5、建议仍在使用windows xp， windows 2003操作系统的用户尽快升级到 window 7/windows 10，或
windows 2008/2012/2016操作系统。

F. 比特币病毒入侵，有什么好的办法防治吗

正逢5月12号，汶川地震九周年的时候，比特币病毒攻击气势汹汹在中国泛起波浪来。

对于如何防止中招，微软的发言人表示，在 Windows 电脑上运行系统自带的免费杀毒软件并启用 Windows Updates 的用户可以免受这次病毒的攻击。Windows 10 的用户可以通过设置-Windows 更新启用 Windows Updates 安装最新的更新，同时可以通过设置-Windows Defender，打开安全中心。

G. 电脑开机后有这个病毒提示是怎么回事用管吗

这个提示是有可疑程序运行，不是肯定是病毒，而且看文件名称和文件路径应该是微软自家的PowerShell程序，应该只是误报，允许并记住操作就可以了。

H. 比特币病毒入侵，有什么好的办法防治吗

比特币病毒是一种敲诈病毒，该病毒是通过远程对感染者的电脑文件加密，从而向这台感染电脑的用户索要加密用户电脑文件，从而向用户勒索赎金，用户文件只能在支付赎金后才能打开。它运用的是4096位算法，这种算法，普通电脑需要几十万年才能破解出来，超级电脑破解所需时间也可能得按年计算，国内外尚无任何机构和个人能够破解该病毒，支付赎金是恢复文件的唯一办法。说通俗一点，该病毒像一个拥有金刚不坏之身的抢劫者，路上的人们都是他的攻击对象，而警察却不能制服他。

那么我们该如何防止它，避免让自己的电脑中招呢？

1. 今后养成定期备份自己电脑中的重要文件资料到移动硬盘、U盘，备份完后脱机保存该磁盘。这样随你删，删完之后我还有~

2. 要养成不明链接不要点击，不明文件不要下载，不明邮件不要打开的好习惯。

3. 安装最新的安全补丁，各大网络平台都可以找到

4. 关闭445、135、137、138、139端口，关闭网络共享。win10重启后，微软会自动处理这个漏洞。win7可以打开360卫士、电脑管家等，进行漏洞补丁的修复；而以被流放的XP 的用户就只能自己手动关闭455端口了。

• 如何关闭455端口？

在控制面板中找到Windows防火墙，开启防火墙，进入防火墙的高级设置，在“入站规则”中新建一条规则，本地端口号选择445，操作选择阻止连接。其他端口号也是同样的方法。

最后祝大家好运~

I. 解决挖矿病毒的经历

线上一台服务器，CPU高达90%以上，经过top 分析出进程kdevtmpfsi
kill -9 杀死进程无果，很快就会自动恢复
排查步骤：

结果：

病毒被植入到了线上运行的某一docker容器内。

如何先确定是哪一容器再去删除搜索结果中的病毒文件？

我这台机器跑的容器不多，可以用复制文件的方法，先 docker cp 一个文件到容器中。再去find 这个文件
如果结果还是在刚才搜索病毒的那个文件目录下（/var/lib/docker/devicemapper/mnt/xxxxx ）就可以确定容器了。结果是php的容器出现了问题。

知道是具体是什么容器出现了问题，最快的办法就是先重启一个新的容器。
我这边是nginx +php 两种服务容器，所以先启动了一个新php容器，修改nginx中配置文件代理后端php服务器端口为新容器的IP地址。（nginx容器已经映射目录到宿主机）

修改PHP后端IP地址
cd 宿主机映射nginx的配置文件位置目录

测试线上环境正常后，删除原来的php容器。（这是自然也==直接删除了病毒文件）
执行 TOP命令，CPU占用正常。
平时防火墙和sellinux都关闭的话，服务器不要暴漏太多无用端口，出现问题应该最新通过进程名去查找文件的原始位置去分析问题，遇到挖矿病毒也应该多注意/etc/init.d下和cron计划任务有无异常。
后期也可以写个cron或者脚本