手机变成矿机是永久性的吗

手机变成矿机是永久性的。恶意程序是专带洞门在安槐隐卓设备后台挖矿的新型恶意程序，24小时内就有5千部设备被感染，截止目前有超过七千部设备被感染，中国和韩国是本次蠕虫病毒的重灾区。如果恶意程序在手机中持续不断地挖矿，用户手机电池极有可能损坏，造成手机报废。更值得注意的是，该恶意程序还具有root权限，存在更严重的安全蠢明枯隐患。

挖矿木马 就是指用你电脑CPU GPU帮它进行复杂运算的恶意程序，一般链咐不怎么占戚唤饥用网络流量

，主要是消耗计算机性能。针对这类恶意程序不少安全产品推出了一系列不错的功能 都能比较好拦截查杀挖矿木马，比如反挖矿防护高返功能等

查看/root/.ssh/authorized_keys

如果有authorized_keys文件中的公钥请及时清理，或者删除该文件

当使用rm删除文件和文件夹的时候提示：rm: 无法删除"bash": 不允许的 *** 作

解决方法：

2.cpu使用率基本跑满（用户态），没有发现高链者可疑的进程，初步怀疑可能是进程在哪里隐藏了

可能是起的一个守护进程

执行命令ps -aux --sort=-pcpu|head -10

查看dns

果然dns被修改了

发现定时任务被加入了一条

0 */8 * * * root /usr/lib/libiacpkmn

根据定时任务中的可疑文件所在路径/usr/lib/libiacpkmn

排查中发现/etc/rc.d/init.d/,/usr/bin/存在可执行文件nfstruncate，

在rc0.d-rc6.d目录下都存在S01nfstruncate文件，可能是自启动文件

现在排查的很明朗了，戚薯接下来着手清理工作

使用top命令观察占用cpu程序的PID

通过PID查唤宏看该程序所在的目录：ls /proc/{PID}/

执行ll /proc/{PID}查看该程序运行的目录

将这些文件的权限全部修改成000，使这些程序无法继续执行：chmod 000 -R *

然后kill -9 {PID}

补充：

执行crontab -l 查看是否有可疑计划任务在执行，如有请及时删除（crontab -r）

通过上面的排查步骤我们可以看到cron程序是运行在/root/.bashtemp/a目录下的，但/root/.bashtemp/目录下还有很多这样的程序，所以也要执行：chmod 000 -R * 将所有恶意程序的权限清除

一般来讲通过以上步骤可以将恶意程序干掉，但不排除不法分子还留有其他后门程序，为了避免类似情况发生，建议保存重要数据后重装 *** 作系统,后续请对服务器做安全加固，以免再次被入侵，比如更改默认远程端口、配置防火墙规则、设置复杂度较高的密码等方法

备注：部分可参考 https://zhuanlan.zhihu.com/p/96601673

---