mac被挖矿木马绑架_求助服务器被挖矿程序入侵如何排查

　　『壹』 求助服务器被挖矿程序入侵，如何排查

　　新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接

　　服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般

　　会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这

　　就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客

　　户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

　　挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，

　　仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查

　　当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

　　对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病

　　毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，

　　客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击

　　状况。

　　通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开

　　发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重

　　的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，

　　SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器

　　一切稳定运行，网站打开正常。

　　『贰』 mac中了挖矿木马，该怎么清除啊

　　卡巴斯基或者avast的Mac版下载下来全盘扫描，上面两回复绝对是无脑推广

　　『叁』 服务器被攻击并植入kdevtmpfsi挖矿/病毒/木马

　　MongoDB库中的数据莫名其妙没有了，发觉如下信息：

　　1、 top -d 5命令 ，查看系统负载情况、是否有未知进程，发现一个名为kdevtmpfsi的进程，经科普它是一个挖矿程序，会占用服务器高额的CPU、内存资源。如图，CPU占用率高达788.7%，而且是yarn用户下：

　　2、 ps -ef |grep kdevtmpfsi 命令查看 该挖矿程序路径：/tmp/kdevtmpfsi

　　3、 ps -ef |grep yarn 命令查看更多关于yarn相关进程信息（此时我的服务器并没有开启yarn服务，如果有yarn的相关进程则可判断是攻击者开启的进程），发现另外还有个kinsing进程，经科普kinsing进程是kdevtmpfsi的守护进程：

　　4、 netstat -lntupaa 命令查看是否有异常的ip,果然发现194.87.102.77这个陌生的ip，判断是kdevtmpfsi的发出者：

　　5、经查询该ip的所在国家是俄罗斯：

　　6、 find / -iname kdevtmpfsi 命令再次确定命令所在位置以便删除：

　　7、 cd /tmp 进入相关目录：

　　8、 rm -rf kdevtmpfsi 删除kdevtmpfsi程序：

　　9、** kill -9 40422**杀掉kdevtmpfsi进程：

　　10、发现并没杀掉所有kdevtmpfsi进程，再次查找yarn的相关进程（因为之前已确认病毒是在yarn下），果真还有kdevtmpfsi进程存在：

　　11、用命令 批量杀掉 相关进程：

　　12、删除kinsing文件：

　　13、现在，已经把挖矿程序及相关进程删除掉了，但是还有两处没做处理：

　　14、 crontab -l 命令先看看crontab的定时任务列表吧：

　　15、编写删除挖矿程序脚本 kill_kdevtmpfsi.sh ：

　　16、新增 定时任务 并删除攻击者的挖矿定时任务：

　　17、 crontab -l命令 查看现在只有杀进程的定时任务了：

　　18、禁止黑客的IP地址。

　　最初安装MongoDB时，并未设置密码认证，存在漏洞，导致黑客通过漏洞攻击服务器，并在程序里植入木马/病毒。单纯的kill -9 id杀掉病毒进程是杀不彻底的，治标不治本，应该定时删除病毒进程，禁止攻击者IP，重新安装系统或相关软件。

　　经过几天的观察，服务器运行正常，再没有被黑客攻击成功。

　　『肆』 mac突然系统占了300多G内存

　　磁盘分区的时候没看吧，恢复磁盘重新安装windows 系统，

　　『伍』 苹果电脑如何看自己有没有被人当挖矿机

　　开始运行CMD回车再输入netstat -ano回车再输入tasklist回车

　　开远程的IP地址是不是你的电脑上的进程

　　不是就是挖掘机

　　判断是否为矿卡：

　　1：通过肉眼来识别这个硬件究竟是不是矿卡 ，其实通过其他方式也可以测出，就比如说你到电脑里面去测矿卡的超频性能，去跟官方的数据进行对比，测矿卡供电的稳定性，也可以测出来是不是矿卡。

　　2：第一点是先看矿卡上面有没有什么特别脏特别多的灰尘，各种油渍，如果没有的话那证明卖家可能做了比较好的处理，或者不是矿卡。如果矿卡非常的脏的话，十有八九就是矿卡，那我们就要进行下一步的操作，就是拆开矿卡。

　　3：我们应该注意到是否有发票且带保修，保修基本是在全国各地的保修点都可以保修的，这种才不是矿卡。