云服务器中挖矿病毒的清除过程（二）

发现一台服务器，CPU使用率一直50%左右，top查看一进程名称为
-bash，按c查看详情，名称显示为python
十分可疑
杀掉进程，清空crontab内容，并删除此目录文件，发现过一阵进程又被启动起来了
查看/etc/cronhourly，发现有一个sync文件，还是会定时执行，内容为

此文件还被加了保护权限，需要用chattr去除后删除

crondaily cronweekly cronmonthly里面也有
同样方法删除/bin/sysdrr
至此病毒被彻底清除

删除/opt/new目录时，发现此目录下还有一个/opt/md目录，内容如下
病毒运行原理是

其他常用的诊断命令

关联文章：
云服务器中挖矿病毒的清除过程
服务器中毒导致的wget等系统命令失效后的恢复

参考文章：
PC样本分析记录最近与挖矿病毒的斗智斗勇
PC样本分析记录最近与挖矿病毒的斗智斗勇(二)

1 关闭访问挖矿服务器的访问
iptables -A INPUT -s xmrcrypto-poolfr -j DROP and iptables -A OUTPUT -d xmrcrypto-poolfr -j DROP
2 chmod -x minerd ,取消掉执行权限， 在没有找到根源前，千万不要删除 minerd，因为删除了，过一回会自动有生成一个。
3 pkill minerd ,杀掉进程
4 service stop crond 或者 crontab -r 删除所有的执行计划
5 执行top，查看了一会，没有再发现minerd 进程了。
6检查/var/spool/cron/目录下发现有个root用户的定时器文件。
下载脚本的语句：
/5 curl -fsSL >世界上比特币70%的算力有中国提供，其中比较有名的是：
1、比特币中国
2、f2poll鱼池
……
不列举了。
每个人都可以组建矿池，只要你愿意，另外有人愿意加入。
注意如果没人加入，就只有你自己在这个矿池里和别人竞争，你的算力在全网恐怕沧海一粟都算不上，成功率太低。
所以一般的矿工都加入大矿池，不自己组建。
当然，如果你有实力，也可以自己组建矿池，这个资料是公开的，百度即可。谢谢。

挖矿跟显存没关系，是看GPU核心的计算能力，只要是显卡就能挖矿，但只会选用性价比高的中高端显卡，还有专门的非显卡矿机不用显卡挖矿，但矿机只能挖对应的一种币，不能自行更换币种，如果是显卡组矿机的话只要有算法，哪种币都可以挖

服务器CPU飙升到100%，发现可以进程 kdevtmpfsi
网上查资料，是因为 redis 漏洞引起的，但服务器上并没有装 redis，后来再国外的网站查到可能是因为 laravel 的版本引起的
>

 新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接
服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般
会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这
就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客
户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

 

SSH远程登录客户的Linux服务器，查看当前的进程发现有一个特别的进程占用了百分之100
的CPU，而且会持续不断的占用，我们查了查该进程，发现不是linux的系统进程，我们对进程
的目录进行查看，发现该进程是一个木马进程，再仔细进行安全分析，才确定是目前最新的挖
矿木马病毒，挖的矿分很多种，什么比特币，什么罗门币的，太多太多，看来现在的挖矿技术
扩展到了入侵服务器进行肉鸡挖矿了。

挖矿木马的检测与清除

 

我们在系统的目录下发现了挖矿木马主要是以 Q99sh命名的文件来控制客户的linux服务器，看
里面写的代码是以root权限运行，并自动启动计划任务，当服务器重启时继续执行计划任务，
导致客户怎么重启都于事无补，还是卡的要命。该木马代码还调用了一些Linux系统命令，bashe
bashd来挖矿，该命令是最直接也是占用CPU到顶峰的关键，太粗鲁了，这样的挖矿本身就会让
客户发现问题，看来挖矿者只顾着赚钱，不考虑长久之道了。

 

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，
仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查
当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病
毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，
客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击
状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开
发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重
的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，
SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器
一切稳定运行，网站打开正常。

矿卡是挖矿的显卡的意思。矿卡简单来说就是挖矿的显卡，这里的“挖矿”是虚拟挖矿，用户用电脑下载专门的挖矿软件然后运行特定算法，在与远方服务器通讯后有一定的几率得到相应比特币，这个过程就是我们说的挖矿，一般是用专业显卡来挖矿，多采用烧显卡的方式工作，所以耗电量比一般正常用电脑要大。

矿卡介绍

所谓的矿卡就是挖矿的显卡，这里的“挖矿”是虚拟挖矿，一般有专业显卡来挖矿，挖到的矿其实就是比特币。

用户用电脑下载挖矿软件然后运行特定算法，与远方服务器通讯后可得到相应比特币，多采用烧显卡的方式工作，所以耗电量较大。显卡矿卡通常都是ATI芯片的显卡，比特币倒闭了，那些矿工纷纷把自己平时挖矿的矿卡就拿出来当二手卖了。矿卡因为长期不间断满载工作显卡的核心部位和供电部位都会焦黄。

---