這幾天有客戶來找我們的技術小哥哥反應，服務器卡頓，經過排查發現是因為客戶安裝的文件帶有挖礦病毒，我一聽，那問題可大了，在解決完客戶問題後，趕緊來小夥伴們一起分享下遇到這個情況該怎麼辦，下面我們一起來看看吧！

虛拟貨币“挖礦”是利用計算機的設備資源（如算力、網絡帶寬、硬盤存儲等）去解決複雜數學運算的一個過程，從而産生基于區塊鍊技術的去中心化虛拟貨币的行為，産生的虛拟貨币以比特币和以太坊為主，而虛拟貨币可以通過交易市場進行買賣，從而獲得大額金錢收益。

1、文件/定時任務删除失敗---------------文件隻讀屬性保護

2、文件/定時任務删完又出現-----------------系統文件替換/下載進程殘留

3、病毒進程剛剛删完又被拉起---------------惡意進程守護

4、主機嚴重卡頓但找不到挖礦進程-----------系統命令劫持

5、主機殺幹淨後一段時間又出現病毒---------ssh&漏洞再次入侵

1.直接危害

• 主機長時間執行高性能計算，浪費網絡帶寬，CPU和内存占用較高，不能及時處理用戶的正常請求或任務。
• 增加電力消耗，加快電腦CPU、内存等硬件老化速度。

2.潛在危害

• 黑客通過挖礦程序竊取機密信息，比如機密文件、關鍵資産的用戶名和密碼等，導緻校園IT資産遭受更進一步的資産損失。
• 黑客控制主機作為“肉雞”攻擊互聯網上的其他單位，違反網絡安全法。
• 黑客利用已經控制的機器，作為繼續對業務系統區域滲透的跳闆，産生更嚴重的網絡安全攻擊事件。

1.Windows系統

• 對惡意程序進行清除操作，由于挖礦木馬具有很強存活能力，不建議手工查殺，建議使用殺毒軟件對主機進行全盤掃描和查殺，如無法清除的建議重新安裝系統及應用；
• 在防火牆關閉不必要的映射端口号或服務，重啟再測試是否還會有可疑進程存在；
• 對操作系統及系統相關管理界面的登錄設置強密碼（10位以上，大小寫字母、數字及特殊字符的組合）。

2.Linux/mac系統

• 通過安裝防病毒軟件，對主機進行全盤掃描和查殺，如無法清除的建議重新安裝系統及應用；

如具備較強動手能力，可參照以下說明進行排查：

• 排查是否存在異常的資源使用率(内存、CPU等)、啟動項、進程、計劃任務等，使用相關系統命令(如netstat)查看是否存在不正常的網絡連接，top 檢查可疑進程，pkill 殺死進程，如果進程還能存在，說明一定有定時任務或守護進程（開機啟動），檢查/var/spool/cron/root 和/etc/crontab 和/etc/rc.local。
• 查找可疑程序的位置将其删除，如果删除不掉，查看隐藏權限。lsattr chattr 修改權限後将其删除。
• 查看/root/.ssh/目錄下是否設置了免秘鑰登陸，并查看ssh_config配置文件是否被篡改。
• 在防火牆關閉不必要的映射端口号或服務，重啟再測試是否還會有可疑進程存在。
• 建議系統管理員對操作系統及系統相關管理界面的登錄設置強密碼（10位以上，大小寫字母、數字及特殊字符的組合）；

1.安裝殺毒軟件

安裝殺毒軟件，更新病毒庫，進行殺毒。

2.避免弱密碼

避免使用弱密碼，避免多個系統使用同一密碼，登錄口令要有足夠的長度和複雜性，并定期更換登錄口令

3.關閉應用服務

關閉Windows共享服務、遠程桌面控制等不必要的服務。

4.應用安裝

不要安裝不認識的、具有風險的應用；安裝應用盡量到正規應用商店下載。

5.提高網絡安全意識

不使用不明來曆的U盤、移動硬盤等存儲設備；

不要點擊來源不明的郵件以及附件；

不要下載來源不明的破解軟件；

不接入公共網絡也不允許内部網絡接入來曆不明的外網設備

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!