用户投稿这是一份关于彻底清除电脑挖矿病毒的详细步骤记录。请注意,操作前请务必备份重要数据,并确保你了解每一步操作的含义,不熟悉的情况下建议寻求专业人士的帮助。
"记录:彻底清除挖矿病毒操作日志"
"日期:" 2023年10月27日
"时间:" 上午 10:00 - 下午 3:30
"操作者:" [你的名字或昵称]
"受感染设备:" Windows 10 专业版 (家庭版),主硬盘 C: (NTFS)
"一、 确认感染与初步准备"
1. "症状确认:"
电脑运行异常缓慢,经常卡顿或自动重启。
CPU 使用率长时间处于 100%,即使没有运行大型程序。
磁盘活动异常频繁,即使没有进行大量读写操作。
电池续航时间急剧下降(如果是笔记本)。
网络流量异常,尤其是在深夜或网络不繁忙时段有大量上传数据。
屏幕上出现不请自来的广告或弹窗(部分挖矿病毒具有此功能)。
通过任务管理器(`Ctrl+Shift+Esc`)检查,发现可疑进程,CPU/内存占用率高,文件路径奇怪。
(初步怀疑:通过不明链接、软件下载或邮件
相关内容:
什么是挖矿病毒?
挖矿病毒是一种特定的恶意软件,它在未经许可的情况下利用被感染设备(如计算机、服务器或移动设备)的计算资源来进行加密货币(如比特币、以太坊等)的挖矿操作。这类病毒会导致被感染设备的性能显著下降,产生大量电力消耗,并可能造成硬件损坏或者隐私等安全风险。
为什么会出现挖矿病毒?
比特币(Bitcon)和其他的虚拟加密货币的兴起为挖矿行为带来高额的潜在收益,为了获取更多的计算资源并降低成本,一些不法分子开始利用恶意软件来进行挖矿活动,在未经许可的情况下利用他人的设备来挖掘加密货币,从而产生了挖矿病毒。
挖矿病毒主要有如下的特点:
- 高收益低成本:挖矿病毒允许攻击者在不支付硬件和电力成本的情况下获得加密货币,从而获得高收益低成本。
- 操作成本低:通过编写和传播恶意软件,攻击者可以大规模感染设备进行挖矿。挖矿(Mining)是指计算机矿工通过解决复杂的数学问题以验证和添加新的交易到区块链中,从而获得加密货币的作为奖励,这一过程需要消耗大量的计算资源和电力。
挖矿病毒攻击的原理
- 恶意软件传播
- 钓鱼邮件:通过欺骗性邮件,诱使受害者下载并执行恶意附件或点击恶意链接。
- 恶意广告(Malvertising):在看似合法的广告中隐藏恶意代码,当用户点击广告或甚至只是浏览含有广告的网页时,自动下载和执行恶意软件。
- 漏洞利用:利用系统或应用程序中的已知漏洞,从而远程安装挖矿恶意软件。
- 破解软件和盗版软件:在破解软件或盗版软件中捆绑挖矿恶意软件,用户在安装这些软件时也同时安装了恶意程序。
- 恶意软件植入
- 恶意软件一旦进入目标系统,会进行一些自我隐藏和持久化的操作,包括:
- 文件混淆:通过混淆技术(obfuscation),例如多级加密、虚拟机检测等,来隐藏自身代码。
- 注册表修改:修改系统注册表项,使自身在系统启动时自动运行。
- 进程注入:恶意软件注入到合法的系统进程中,以避免被简单的进程监视工具检测到。
- 挖矿工作开始
- 恶意软件在目标系统上运行并开启挖矿进程。挖矿病毒会使用CPU和GPU资源来计算,加密货币成果通常被发送到攻击者控制的钱包地址。
- 劫持的资源通常通过以下方式用于挖矿:
- CPU挖矿:恶意软件利用CPU的计算能力来挖掘加密货币,例如Monero(门罗币)。
- GPU挖矿:对于带有高性能图形处理器(GPU)的设备,恶意软件可能会利用GPU的计算能力来进行挖矿。
- 网络传播:部分挖矿病毒具备蠕虫性质,可以自动扫描并感染同一网络中的其他系统。借助网络漏洞或弱密码攻击进一步传播感染。
如何识别挖矿病毒攻击?
主机感染了挖矿病毒之后,矿工占用了设备大量的计算资源,影响其他服务的正常运行,一般来说存在如下的迹象:
- 性能监控:注意计算机性能的突然下降或系统变慢,或者查看到CPU/GPU 使用率是否异常高。
- 网络流量:监控网络流量是否有异常活动,特别是与加密货币矿池相关的流量。
如何预防挖矿病毒攻击?
- 及时更新系统和软件:修补已知漏洞,减少漏洞利用的可能性。
- 启用防病毒和反恶意软件保护:安装并保持防病毒软件和反恶意软件工具的实时保护。
- 网络安全措施:使用网络防火墙、入侵防御系统(IPS),阻止可疑流量和通信。
- 用户教育:提高用户安全意识,尤其是针对钓鱼邮件、恶意广告和未经授权软件安装的防范。
- 策略和配置:限制用户权限,防止未授权的程序安装和执行,启用安全配置如应用程序白名单。
挖矿病毒处理
碰到一次挖矿病毒的袭扰,相关排查过程记录一下。
首先看到top下有一个“-bash" 进程占用cpu使用率极高,进入/proc/进程号,可以看到其运行目录为
/tmp/.x/-bash,将其删除。同时清除掉crontab定时任务。
但是过了15分钟左右,挖矿进程又起来了,但是运行目录变成了根目录,且找不到-bash 文件,此后无论怎么删除文件及杀掉进程,过一会该进程又会起来。
该脚本总是去生成 /tmp/.x/-bash 脚本去执行病毒进程,再把该脚本删除,让人不能轻易发现。如此一来,直接使用以下命令生成这个文件后,再强制赋予它不能删除、不能更改、不能移动的限制,这样病毒就不能将病毒内容输入该脚本去执行了:
$ touch -bash $ chattr +i -bash lsattr -bash ----i--------e- -bash |
如此处理后,该进程就没被调起来过了。
但是到底是哪里调用并生成了这个脚本呢?
查看/var/log/cron日志文件可以看到:
之前的确是通过crontab调用的,清除掉crontab后,它改从/etc/cron.daily和/etc/cron.weekly以及hourly
至此,可以看到他的源头文件是/bin/sysdrr
该定时任务脚本将该文件cp到/usr/bin/-bash,然后再执行该脚本,再rm删除脚本。
将该文件删除
好家伙还设置了不可操作权限
将该权限移除后顺利删除,并删除其他cron文件
最后,建议大家不要使用简单密码,这次该台服务器的密码就过于简单。
微信扫一扫打赏
支付宝扫一扫打赏
