遇到挖矿病毒怎么办？

这几天有客户来找我们技术小哥反映服务器卡住了。 经查，发现客户安装的文件中含有挖矿病毒。 我一听，问题就严重了。 解决了客户的问题，赶快分享给身边的朋友遇到这种情况怎么办，一起来看看吧！

一、虚拟货币“挖矿”的定义

虚拟货币“挖矿”是利用计算机设备资源（如计算能力、网络带宽、硬盘存储等）解决复杂的数学运算，从而产生基于区块链技术的去中心化虚拟货币的过程。 中国的虚拟货币主要是比特币和以太坊，虚拟货币可以通过交易市场进行买卖，从而获得大量的货币利益。

2、挖矿病毒的特点：

1.文件/定时任务删除失败----------------文件只读属性保护

2.文件/定时任务删除后又出现----------------系统文件替换/下载过程依旧

3.病毒进程刚刚被删除然后拉起----------------恶意进程卫士

4.主机严重卡死但找不到挖矿进程------------系统命令劫持

5、杀掉主机一段时间后病毒再次出现--------ssh&漏洞再次入侵

3、挖矿病毒的危害

1.直接伤害

*主机长时间进行高性能计算，浪费网络带宽，占用CPU和内存高，无法及时处理正常的用户请求或任务。

*增加功耗，加快电脑CPU、内存等硬件的老化速度。

2. 潜在危害

* 黑客通过挖矿程序窃取机密信息，如机密文件、关键资产的用户名和密码等，造成校园IT资产进一步流失。

* 黑客控制主机为“肉鸡”攻击互联网上其他单位，违反网络安全法。

* 黑客以被控机器为跳板，继续向业务系统区域渗透比特币的软件的安装，造成更严重的网络安全攻击。

4、不同系统如何应对挖矿病毒

1.视窗系统

清理恶意程序。 挖矿木马生存能力强，不建议手动查杀。 建议使用杀毒软件对主机进行扫杀。 如果无法清除，建议重装系统和应用程序；

关闭防火墙上不需要的映射端口号或服务，重启测试是否还有可疑进程；

为操作系统和系统相关管理界面的登录设置一个强密码（10个字符以上，大小写字母、数字和特殊字符的组合）。

2.Linux/mac系统

*通过安装杀毒软件，对主机进行全盘查杀，如果无法清除，建议重装系统和应用程序；

如果您动手能力强，可以参考以下说明进行故障排除：

* 检查资源使用（内存、CPU等）、启动项、进程、定时任务等是否有异常，使用相关系统命令（如netstat）查看网络连接是否异常，top查看可疑processes, pkill kill 如果进程还存在，说明一定有定时任务或者daemon进程（开机启动），查看/var/spool/cron/root和/etc/crontab和/etc/rc.local。

* 查找可疑程序的位置并将其删除。 如果您不能删除它们，请检查隐藏权限。 lsattr chattr 在权限被修改后删除权限。

* 检查/root/.ssh/目录下是否设置免密登录，检查ssh_config配置文件是否被篡改。

*关闭防火墙中不需要的映射端口号或服务比特币的软件的安装，重启测试是否还有可疑进程。

* 建议系统管理员为操作系统和系统相关管理界面的登录设置一个强密码（10个字符以上，大小写字母、数字和特殊字符的组合）；

五、预防措施

1.安装杀毒软件

安装杀毒软件，更新病毒库，进行杀毒。

2.避免弱密码

避免使用弱密码，避免多个系统使用同一个密码。 登录密码要有足够的长度和复杂度，并定期更改登录密码

3.关闭应用服务

关闭Windows共享服务、远程桌面控制等不需要的服务。

4.应用程序安装

不要安装未知和有风险的应用程序； 尝试从正规应用商店下载应用。

五、提高网络安全意识

不使用来历不明的U盘、移动硬盘等存储设备；

不要点击来源不明的邮件和附件；

不要下载不明来源的破解软件；

不访问公网，不允许内网访问来历不明的外网设备。