挖矿病毒

自从比特币火起来以后，运维和安全同学就经常受到挖矿病毒的骚扰，如果有人说机器cpu被莫名其妙的程序占用百分之八十以上，大概率是中了挖矿病毒。

说说挖矿病毒的几个特点：

一、cpu占用高，就是文中一开始所说的，因为挖矿病毒的目的就是为了让机器不停的计算来获利，所以cpu利用率都会很高。

二、进程名非常奇怪，或者隐藏进程名。发现机器异常以后，使用top命令查看，情况好的能看到进程名，名字命名奇怪，我见过的linux上中毒的是以. exe命名的程序。对于隐藏进程名这种情况，找起来就更加费事了，需要查看具备linux相关的系统知识。

三、杀死后复活，找到进程之后，用kill命令发现很快就会复活，挖矿病毒一般都有守护进程，要杀死守护进程才行。

四、内网环境下，一台机器被感染，传播迅速，很快会感染到其他机器。

挖矿病毒的防御

挖矿病毒最好的防御重在平时安全规范，内网机器不要私自将服务开放到公司，需要走公司的统一接口，统一接口在请求进入到内网之前，会有安全措施，是公司入口的第一道安全门。还有就是公司内网做好隔离，主要是防止一个环境感染病毒，扩散到全网。

对于已经感染的情况，可以通过dns劫持病毒访问的域名，公网出口过滤访问的地址，这些手段是防止病毒扩大的手段，对于已经感染的机器，只能通过开始讲的几种方法找到并杀死病毒了。

【2】可疑文件路径

【3】可疑网络连接

2.常见Linux病毒家族

老一辈： BillGates

新生代家族： DDG、SystemMiner、StartMiner、WatchDogMiner、XorDDos、Icnanker

IoT家族：Mirai、Gafgyt

4.三步轻松清除挖矿病毒

【1-1】定位挖矿进程 1.top、htop

【1-2】清除挖矿进程 kill -9 [pid]

【2-1】根据进程信息定位文件ll /proc/[pid]/exe

【2-2】删除文件/文件夹 rm -rf [filepath/dir_path]

【3-1】检查定时任务 crontab -l , ll /etc/cron.d/

【3-2】清除定时任务 crontab -r*注意是否存在业务需要的定时任务

【3-3】删除指定定时任务 grep -r "curl" /var/spool/cron

【3-4】 删除定时任务文件 rm /etc/cron.d/[file]

5.顽固病毒对抗技巧

关键字关联可以进程： ps -elf | grep [sh、wget、curl、xmr、mine、ssh] | grep -v grep

6.主机卡顿但找不到挖矿进程

使用busybox的top命令，

详细解决办法如下：

瑞星安全专家建议，对于一般用户，针对挖矿病毒攻击，采取如下防御措施，及时更新系统补丁，防止攻击者通过漏洞入侵系统。使用复杂密码，安装杀毒软件，保持监控开启，及时更新病毒库，及时备份数据库。不打开可疑的邮件附件，不点击邮件中的可疑链接。

对于规模较大、设备类型众多、维护工作繁重的企业，推荐使用终端杀毒软件，进行统一查杀，统一打补丁。企业还可以在网络入口处部署防毒墙，在网关处对病毒进行初次拦截，将绝大多数病毒彻底剿灭在企业网络之外。同时，对于企业中存在的虚拟化设备可以部署虚拟化专用版安全软件，有效保障企业内部虚拟系统不受病毒侵扰。

---