怎么查看挖矿的进程

Ⅰ top cpu飙高,中了挖矿程序----解决方法

1.发现cpu异常,查看对应的进程信息

2.查看进程发现是挖矿进程在执行

3.确定是挖矿病毒,查看进程的执行文件链接到哪里,发现是jenkins的工作目录,最后结果发现是jenkins的漏洞导致自动创建CI计划,进行启动挖矿脚本

4.查看虚机密码是否被破解登录

5.查找挖矿文件

6.检查定时任务脚本

jenkins CVE-2018-1999002 漏洞修复: https://paper.seebug.org/648/
jenkings漏洞利用: https://xz.aliyun.com/t/4756
CI安全隐患: https://www.jianshu.com/p/8939aaec5f25
jenkins漏洞描述地址: https://www.cyberark.com/threat-research-blog/tripping-the-jenkins-main-security-circuit-breaker-an-inside-look-at-two-jenkins-security-vulnerabilities/

Ⅱ 怎么知道自己的电脑，是不是在帮别人挖矿

经常查看系统进程和CPU使用率，一般电脑装了360以后桌面会有个悬浮窗，看看这个有没有异常就知道了

Ⅲ 鐢佃剳琚鎸栫熆鎬庝箞鍔

鐢佃剳琚鎸栫熆鏄涓绉嶆伓鎰忕▼搴忚鍑伙紝鐭垮伐绋嬪簭浼氬埄鐢ㄧ數鑴戠殑璁＄畻鑳藉姏鏉ユ寲鎺樺姞瀵嗚揣甯侊紝浠庤岀洍鍙栬＄畻鑳藉姏銆傝繖绉嶆敾鍑讳細娑堣楀ぇ閲忕殑璁＄畻鑳藉姏鍜岀數鍔涜祫婧愶紝瀵艰嚧鐢佃剳杩愯岀紦鎱锛屼笖鍗卞虫у緢澶с傚傛灉浣犵殑鐢佃剳琚鎸栫熆浜嗭紝閭ｄ箞浣犲簲璇ラ噰鍙栦互涓嬫ラゆ潵瑙ｅ喅锛

1. 鎵鎻忕梾姣
棣栧厛锛屼綘闇瑕佽繍琛屾潃姣掕蒋浠舵潵鎵鎻忕梾姣掋傛潃姣掕蒋浠跺彲浠ヨ瘑鍒鍜屾竻闄ょ熆宸ョ▼搴忓拰鍏朵粬鎭舵剰杞浠躲傚傛灉浣犳病鏈夊畨瑁呮潃姣掕蒋浠讹紝閭ｄ箞浣犻渶瑕佸畨瑁呬竴涓鏉ヤ繚鎶や綘鐨勭數鑴戙傛敞鎰忥紝浣犻渶瑕佸畾鏈熸洿鏂颁綘鐨勬潃姣掕蒋浠讹紝浠ヤ究淇濇寔鍏舵渶鏂扮殑鐥呮瘨瀹氫箟銆
2. 鏌ユ壘骞跺仠姝㈣繘绋
涓鏃︽潃姣掕蒋浠舵娴嬪埌鐥呮瘨锛屼綘闇瑕佹墜鍔ㄦ煡鎵惧苟鍋滄㈢浉鍏崇殑杩涚▼銆傝繘绋嬪彲浠ラ氳繃浠诲姟绠＄悊鍣ㄦ垨鍏朵粬杩涚▼绠＄悊宸ュ叿鏉ユ煡鎵俱備竴鏃︽壘鍒颁簡鐭垮伐绋嬪簭鐨勮繘绋嬶紝浣犻渶瑕佸仠姝㈠畠锛屼互闃叉㈠叾缁х画娑堣椾綘鐨勮＄畻鑳藉姏銆
3. 鏇存敼瀵嗙爜
濡傛灉浣犵殑鐢佃剳琚鏀诲嚮锛岄偅涔堟湁鍙鑳芥槸鍥犱负浣犵殑瀵嗙爜琚鐩楋紝鎴栬呬綘鐨勭數鑴戝畨鍏ㄦ帾鏂戒笉瓒炽傛墍浠ワ紝浣犻渶瑕佹洿鏀逛綘鐨勫瘑鐮侊紝骞舵彁楂樹綘鐨勫畨鍏ㄦ帾鏂斤紝鍖呮嫭瑙ｉ攣浣犵殑闃茬伀澧欏拰鍏抽棴杩滅▼妗岄潰杩炴帴绛夈
4. 鏇存柊杞浠
鐭垮伐绋嬪簭鍜屽叾浠栨伓鎰忚蒋浠堕氬父浼氬埄鐢ㄥ畨鍏ㄦ紡娲炴潵鏀诲嚮浣犵殑鐢佃剳銆傝侀伩鍏嶈繖绉嶆儏鍐碉紝浣犻渶瑕佸畾鏈熸洿鏂颁綘鐨勮蒋浠跺拰绯荤粺銆傛洿鏂板彲浠ヤ慨澶嶅凡鐭ョ殑瀹夊叏婕忔礊銆
5. 澶囦唤鏁版嵁
鏈鍚庯紝浣犻渶瑕佸囦唤浣犵殑鏁版嵁銆傚囦唤鍙浠ヤ繚鎶や綘鐨勯噸瑕佹枃浠跺拰鏁版嵁鍏嶅彈鎹熷潖鍜屼涪澶便備綘鍙浠ュ皢鏁版嵁澶囦唤鍒颁簯瀛樺偍鎴栧栭儴瀛樺偍鍣ㄤ腑銆
鎬荤粨
鐢佃剳琚鎸栫熆鏄涓绉嶅父瑙佺殑鎭舵剰绋嬪簭鏀诲嚮锛屽畠浼氬嵄鍙婁綘鐨勮＄畻鑳藉姏鍜岀數鍔涜祫婧愩傚傛灉浣犵殑鐢佃剳琚鏀诲嚮锛屼綘闇瑕佽繍琛屾潃姣掕蒋浠舵潵鎵鎻忕梾姣掞紝骞舵壘鍒板苟鍋滄㈢浉鍏崇殑杩涚▼銆備綘杩橀渶瑕佹洿鏀逛綘鐨勫瘑鐮侊紝鏇存柊浣犵殑杞浠跺拰绯荤粺锛屽苟澶囦唤浣犵殑鏁版嵁銆備互涓婅繖浜涙ラゅ彲浠ュ府鍔╀綘瑙ｅ喅鐢佃剳琚鎸栫熆鐨勯棶棰橈紝浠ュ府鍔╀綘淇濇姢浣犵殑鐢佃剳鍜屾暟鎹銆

Ⅳ 挖矿病毒分析（centos7）

rm -rf /root/.ssh/*
如果有配置过密钥认证，需要删除指定的黑客创建的认证文件即可。
ls /proc/10341 查看进程文件

该脚本执行了 /xm 脚本，并且总是会重启服务。如果此程序不进行清除，即使杀死了对应的进程，过一会还是会执行重新创建，又导致服务器异常。

因此，先停止启动脚本配置项：

systemctl disable name.service
删除脚本：

rm -rf /etc/systemd/system/xm.service

5,启动脚本删除完后，删除相应的程序
ps -ef|grep xmrig
ps -ef|grep javs

kill 9 pid

ls /proc/10341

Ⅳ 服务器被攻击并植入kdevtmpfsi挖矿/病毒/木马

MongoDB库中的数据莫名其妙没有了，发觉如下信息：

1、 top -d 5命令 ，查看系统负载情况、是否有未知进程，发现一个名为kdevtmpfsi的进程，经科普它是一个挖矿程序，会占用服务器高额的CPU、内存资源。如图，CPU占用率高达788.7%，而且是yarn用户下：

2、 ps -ef |grep kdevtmpfsi 命令查看 该挖矿程序路径：/tmp/kdevtmpfsi

3、 ps -ef |grep yarn 命令查看更多关于yarn相关进程信息（此时我的服务器并没有开启yarn服务，如果有yarn的相关进程则可判断是攻击者开启的进程），发现另外还有个kinsing进程，经科普kinsing进程是kdevtmpfsi的守护进程：

4、 netstat -lntupaa 命令查看是否有异常的ip,果然发现194.87.102.77这个陌生的ip，判断是kdevtmpfsi的发出者：

5、经查询该ip的所在国家是俄罗斯：

6、 find / -iname kdevtmpfsi 命令再次确定命令所在位置以便删除：

7、 cd /tmp 进入相关目录：

8、 rm -rf kdevtmpfsi 删除kdevtmpfsi程序：

9、** kill -9 40422**杀掉kdevtmpfsi进程：

10、发现并没杀掉所有kdevtmpfsi进程，再次查找yarn的相关进程（因为之前已确认病毒是在yarn下），果真还有kdevtmpfsi进程存在：

11、用命令 批量杀掉 相关进程：

12、删除kinsing文件：

13、现在，已经把挖矿程序及相关进程删除掉了，但是还有两处没做处理：

14、 crontab -l 命令先看看crontab的定时任务列表吧：

15、编写删除挖矿程序脚本 kill_kdevtmpfsi.sh ：

16、新增 定时任务 并删除攻击者的挖矿定时任务：

17、 crontab -l命令 查看现在只有杀进程的定时任务了：

18、禁止黑客的IP地址。

最初安装MongoDB时，并未设置密码认证，存在漏洞，导致黑客通过漏洞攻击服务器，并在程序里植入木马/病毒。单纯的kill -9 id杀掉病毒进程是杀不彻底的，治标不治本，应该定时删除病毒进程，禁止攻击者IP，重新安装系统或相关软件。

经过几天的观察，服务器运行正常，再没有被黑客攻击成功。

Ⅵ 记一次解决挖矿病毒的过程（sysupdate、networkservice）

我也是有一段时间服务器变的很卡，那时我还以为是我自己的软件装太多导致的问题，不看不知道，看了吓一跳，服务器已经被攻击了，接下来，我来分享下如何查找和解决这个病毒。

当发现服务器卡的时候，我们可以采用top命令，如下显示

我们注意看以上这几个进程，没稍加注意的话，我们还以为这几个是正常的进程，为啥呢？

1、毕竟这几个的user是apache、www、nobody，因为我的web站点，文件目录是www目录，所以这个地方很容易被误认为就是我们的站点目录，而且apache本来是web服务，它取成了这个名词，也容易混淆我们的视野。
2、后面的command名称取成了networkservice 和sysupdate，名称很像我们的系统进程，
3、每个进程的cpu占用都比较小，平均差不多20%个cpu，可是这么多进程加起来，CPU占用就爆炸了，将近100%了

从上面这个地方可以发现这个攻击者很聪明，懂得用这种名称来混淆我们的视野

从上面的top命令知道了这几个占用比较大的进程号，我们可以根据其中的某个进程，比如7081入手，来查找其他关联的进程，使用以下命令，如下图所示

进入到/etc目录下，
我们可以看到有sysupdate、networkservice、sysguard三个文件，这三个文件都是二进制文件，这三个应该就是挖矿的主程序和守护程序。还有一个update.sh文件，这应该是对挖矿病毒升级用的。这个update.sh怎么找出来的呢，其实是通过定时程序里面的cron找出来的。

再进入到 /var/spool/cron看下定时程序
如下图所示

可以看到这几个文件名称，和刚刚占用cpu高的进程user，名称是一样的

这样就可以确认的确是病毒攻击了服务器

1、删除所有的定时程序
进入到/etc/crontab、/var/spool/cron/root、/var/spool/cron/crontabs/root等目录中，删除其中的定时脚本。
也要记得删除定时任务，crontab -e，删除其中的脚本

2、杀掉进程，并删除文件
以下这几张图片的进程id，分别进行kill杀掉

然后删除/etc下面的 sysupdate、networkservice、sysguard、update.sh和config.json几个文件
这时候，你可能会发现无法删除，因为病毒使用了chattr +i 命令，使用如下命令即可删除

每个无法删除的文件，都执行如上命令，即可实现删除文件

3、/root/.ssh/authorized_keys 删除
可能攻击者已经在这里配置了登陆，攻击者可以随便登陆你的服务器，你这里要把秘钥也修改下
经过这些处理后，可以发现我们的服务器已经不再卡了，如下，没有占用高的程序了

转自： https://www.jianshu.com/p/b99378f0cf8f

Ⅶ 怎样知道电脑被挖矿

电脑异常运行缓慢，经常异常死机/卡机，什么都没打开但是cpu占用率非常高，网络缓慢，出现大量网络请求。就需要去检查一下是否中了挖，毕竟现在很流行的。

首先需要先查看计算机的耗电情况，我一般选择安装鲁大师。这个比较方便的掌握电脑的硬件情况，看看cpu和系统的温度很方便的。

然后再检查启动后的系统资源使用情况，有没有异常和较高的内存和cpu的占用情况。Crtl + Alt + Del 即可进入“Windows任务管理器”，“应用程序”---“进程”---“性能”，都是查看系统资源占用状况的。或者：用鼠标点击“开始”，在“运行”里输入：msconfig，也可以进入同样的窗口。

最后在进程里看有没有不熟悉的进程，发现了到网上搜索一下，基本就可以确定有没有了。

检测电脑是否被挖矿方法
挖矿主要利用的是高级显卡，这样效率最高，所以我们只需要监看GPU以及CPU的使用率即可发现。回到主界面，鼠标右键单击开始按钮，如下图所示

2在开始右键菜单点击任务管理器，如下图所示

3进入任务管理器，先看看运行程序有无cpu使用率极高的，如下图所示

4在任务管理器点击性能选项卡，如下图所示

5进入性能选项卡，点击下面的GPU，一般有2个，分别是集成显卡和独立显卡，如下图所示

6正常情况，集成显卡利用率很低，图形游戏或大型绘图软件才会调用独立显卡，如下图所示

7接着我们看独立显卡，默认情况下，独立显卡是不使用的，如果你发现游戏，工程软件没开，独立显卡利用率比较高，那就是被挖矿的，电脑正常，独立显卡是休息状态，

Ⅷ 如何把右下角挖矿测试去除

一种是使用云安全中心自动清理，另一种是手动清除。登录到云安全中心控制台左侧栏，选择威胁检测，安全告警处理在安全告警处理列表中，找到挖矿程序，然后点处理云安全中心安全告警处理然后根据提示一步步操作即可。

去除的方法

手动清除挖矿程序护云盾以Linux服务器为例，按照以下步骤排查及处理查看挖矿进程的执行PID，命令表示该进程的PID。清除挖矿进程的执行文件，在高CPU消耗的进程中定位到挖矿进程，并杀死该进程。

检查云服务器的防火墙中是否存在挖矿程序的矿池地址，可疑通信地址和开放端口，命令iptablesLn执行以下命令清除恶意矿池地址vietcsysconfigiptables排查是否存在定时任务crontabl根据排查的结果，对可疑的定时任务文件进行清理，防止二次入侵。

Ⅸ 如何用Linux服务器挖矿教程

今天早上起来一看，服务器脚本一个都没有启动!甚是奇怪，远程登录服务器，也是异常的卡，直到最后卡死，只好重新启动服务器!
启动之后没一会又会变卡，越来越卡，top查看进程！不觉又奇怪的进程，因为平常也不经常看！所以自己也搞不明白怎么回事儿！只好到群里问了问，说是被挖矿的挂了木马文件了，是由于redis的漏洞!
后来我自己发现，原来redis远程可以直接登录，原以为redis和mysql不开放登录权限就不会支持远程登录呢，看来是我想多了
看了好长时间才发现一个异常的进程，自启的进程 molibe ！
找到进程位置 ps -ef|grep molibe ;
在tmp目录下，打开一看的确是有
chmod -x molibe 取消执行权限在来到/var/spool/cron下，cat root 查看定时器的执行发现之前脚本都被改了，顾不得删除cron，service crond restart 重新启动,再有就时kill 掉molibe进程
这样大概整个就结束了！但是根本是因为redis漏洞，所以还是补上吧
首先修改redis'端口,找到redis.conf文件 port **** 修改端口号再有就是必须修改密码 # requirepass ******** 去除#号重新启动 /redis/src/redis-server /redis/redis-conf
启动成功之后
redis/redis-cli -p ****(端口) -a *****(密码)