如何查看电脑是否被植入了挖矿程序

如何判断自己的电脑是否被挖矿，怎样预防？

电脑开机后，所有程序都不打开的情况下。按Ctrl+ALT+Del调出任务管理器，在“进程”卡项中，查看CPU的使用情况。如果看到某个进程占用了大量的cpu使用情况，并且几分钟后都没有降低的趋势，这个程序就可能是病毒了。

想要预防自己的电脑被挖矿也很简单，只要安装正规的安全软件，使用安全的浏览器，添加安全合适的插件，就可以防止电脑被挖矿了。

当然，如果不浏览不正规不健康的网站，不下载盗版游戏，盗版软件等就更能从根源杜绝电脑被不法分子挖矿的风险。

1、首先使用find命令在IP地址中找到kdevtmpfsi进程的位置。

2、其次利用这个进程找到挖矿程序的守护进程并kill它，删除守护进程的文件，删除挖矿程序的所有文件。

3、最后杀死挖矿进程并删除它的定时任务即可。

电脑异常运行缓慢，经常异常死机/卡机，什么都没打开但是cpu占用率非常高，网络缓慢，出现大量网络请求。就需要去检查一下是否中了挖，毕竟现在很流行的。

首先需要先查看计算机的耗电情况，我一般选择安装鲁大师。这个比较方便的掌握电脑的硬件情况，看看cpu和系统的温度很方便的。

然后再检查启动后的系统资源使用情况，有没有异常和较高的内存和cpu的占用情况。Crtl + Alt + Del 即可进入“Windows任务管理器”，“应用程序”---“进程”---“性能”，都是查看系统资源占用状况的。或者：用鼠标点击“开始”，在“运行”里输入：msconfig，也可以进入同样的窗口。

最后在进程里看有没有不熟悉的进程，发现了到网上搜索一下，基本就可以确定有没有了。

检测电脑是否被挖矿方法

挖矿主要利用的是高级显卡，这样效率最高，所以我们只需要监看GPU以及CPU的使用率即可发现。回到主界面，鼠标右键单击开始按钮，如下图所示

2在开始右键菜单点击任务管理器，如下图所示

3进入任务管理器，先看看运行程序有无cpu使用率极高的，如下图所示

4在任务管理器点击性能选项卡，如下图所示

5进入性能选项卡，点击下面的GPU，一般有2个，分别是集成显卡和独立显卡，如下图所示

6正常情况，集成显卡利用率很低，图形游戏或大型绘图软件才会调用独立显卡，如下图所示

7接着我们看独立显卡，默认情况下，独立显卡是不使用的，如果你发现游戏，工程软件没开，独立显卡利用率比较高，那就是被挖矿的，电脑正常，独立显卡是休息状态，

最近，我收到一位朋友的咨询，让我发现了一种新型骗局。

之后的几天，我又发现有三位朋友中招，他们的被骗经历和骗子的手法极其相似,都是在某二手交易平台上购买矿机，都是正常挖矿一周后算力突然消失，很可能是同一伙骗子所为。

我想，我该做点儿什么了。

奇怪的故障

这天，某A向我咨询，他购买的20台显卡矿机，突然都不能挖矿了。

具体故障表现为：矿池显示矿机掉线。

▼由于长时间没有算力，某A向我咨询时，矿机已经显示为失效了。

帮助过颇多小白的我，还是有一定经验的，我让他用手感受下矿机出风口的温度。

▼这是正常挖矿的功耗

▼这是空载时的功耗

可以发现，矿机如果不在挖矿的话，显卡的功耗会明显降低，出风口应该基本感受不到温度。

某A很快给了我答复，出风口是热的，和之前没有区别。

显然，矿机是在工作的。

既然机器在工作，那就可以直接排除网络和矿池的原因。

因为如果和矿池的连接出了问题，挖矿软件会停止挖矿，显卡功耗也会降低。

似乎只有一个可能的解释：机器被黑了，算力被切到了别人的地址上。

既然是系统被黑了，保险起见，最好的办法就是重装一下。

经验告诉我，一个被黑的系统，重装是最省时省力的办法，鬼知道黑客会搞什么幺蛾子，矿机又没有数据要保留。

在我的指导下，某A成功安装minerOS，一个专为挖矿定制的系统。

之后，让我一脸懵逼的事儿来了，居然检测不到显卡！！

▼minerOS后台没有识别到任何显卡

一台能插8卡的矿机，主板一定会使用各种奇技*巧来增加PCIE插槽。

常见的方法有：PCIE交换机、带宽降低到1x、协议使用PCIE 20等等，兼容性和稳定性确实一般，偶尔丢一两张卡是很常见的。

但是，能把8张卡都给丢了的，我真是第一次见到。

转机

某A和我折腾了好几个小时，一筹莫展。

就在我几乎打算放弃远程调试，打算让某A把机器寄给我时，某A抱怨了一句：热死了。

这句话点醒了我，我又让某A检查了下出风口的温度，依然是热的。

似乎机器还在挖矿，可是明明连显卡都识别不到。

索性直接让某A把矿机关机，但是依然保持电源打开，过了一会儿，某A检查出风口，居然还是热的。

这就有点儿奇怪了不是？

一不做二不休，不管机器上的防拆贴，我直接让某A找来螺丝刀，拆机。

这一拆不要紧，真是让人大吃一惊。

机器里只有一个小小的工控板，几根电热丝，一个小小的电源，还有一些砖头，机箱两侧是暴力风扇。

▼此处某A不同意使用他的矿机，请根据此示意图自行脑补画面。

不用说，某A被骗了。

不得不说，骗子的想象力还是很丰富的。

机箱里的砖头是配重用的，电热丝显然是用来产生热量，让你以为机器在工作。

工控板里刷个系统，再配个电源，齐活。

不解

某A认为他已经足够小心了，走的是二手交易平台，并且正常挖了一周才确认收货的。

很早以前就有一种骗局，骗你购买云算力或者所谓的“矿机”，其实根本就不能挖矿，只能连接骗子提供的所谓“矿池”，上面给你显示点儿算力，每天给你打点儿币，说是挖矿收益。

算力只是骗子搭建的网站上的数字，收益其实是骗子从你买云算力或者矿机的币中拿出一点儿转给你的。

等上当受骗的人足够多了，骗子就卷款跑路，这类骗局最著名的当属“蜗牛星际”。

其实这种骗局很容易识破，只要你要求必须能在第三方矿池挖矿，就可以了。

第三方矿池会公正地显示算力，显然这种骗局中并没有真实算力，因此可以识破。

某A是知道这种骗局的，因此他强调必须要在F2Pool能够显示算力，并且收益要是F2Pool支付的，这至少能保证算力是真实存在的。

经过我的检查，某A收到的收益，确确实实是从F2Pool的地址支付的，可以在链上查到，并且也能在F2Pool上查到相关挖矿记录。

所以，算力是真实存在的，如假包换。

但是，机箱里的这些东西，是不可能产生算力的，到底算力从何而来呢？

某A再三确认，这些机器收到后没有任何其他人碰过，不存在被调包的可能。

我决定仔细研究一番。

由于这台机器已经重装过系统，我让某A又找来另一台机器。

揭秘

经过一番排查，我还真找到了猫腻，不由让我赞叹，这骗子太聪明了。

▼这是常用的以太坊挖矿工具lolMiner是吧，我一开始也是这么认为的。

▼查看一下它的大小，居然只有48个字节，要知道正常的lolMiner的可执行文件应该在8MB左右。

▼查看下内容，这个lolMiner居然是个脚本。

大家是怎么启动挖矿的呢？使用这行命令对吧：

/lolMinerexe --algo ETHASH --pool 矿池地址 --user 钱包地址矿机名

因为这台机器上的lolMiner并不是真实的挖矿程序，而是个脚本，上面的命令行参数会补全到脚本里。

最终执行的其实是这个命令：

ssh mos@xxxxxxxxxxxx "~/lolminer/lolMiner" --algo ETHASH --pool 矿池地址 --user 钱包地址矿机名

这个命令的功能是什么呢？

远程登录 >

线上一台服务器，CPU高达90%以上，经过top 分析出进程kdevtmpfsi

kill -9 杀死进程无果，很快就会自动恢复

排查步骤：

结果：

病毒被植入到了线上运行的某一docker容器内。

如何先确定是哪一容器再去删除搜索结果中的病毒文件？

我这台机器跑的容器不多，可以用复制文件的方法，先 docker cp 一个文件到容器中。再去find 这个文件

如果结果还是在刚才搜索病毒的那个文件目录下（/var/lib/docker/devicemapper/mnt/xxxxx ）就可以确定容器了。结果是php的容器出现了问题。

知道是具体是什么容器出现了问题，最快的办法就是先重启一个新的容器。

我这边是nginx +php 两种服务容器，所以先启动了一个新php容器，修改nginx中配置文件代理后端php服务器端口为新容器的IP地址。（nginx容器已经映射目录到宿主机）

修改PHP后端IP地址

cd 宿主机映射nginx的配置文件位置目录

测试线上环境正常后，删除原来的php容器。（这是自然也==直接删除了病毒文件）

执行 TOP命令，CPU占用正常。

平时防火墙和sellinux都关闭的话，服务器不要暴漏太多无用端口，出现问题应该最新通过进程名去查找文件的原始位置去分析问题，遇到挖矿病毒也应该多注意/etc/initd下和cron计划任务有无异常。

后期也可以写个cron或者脚本

以上就是关于如何查看电脑是否被植入了挖矿程序全部的内容，包括:如何查看电脑是否被植入了挖矿程序、IP地址被疑挖矿怎么办、怎样知道电脑被挖矿等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！