求助服务器被挖矿程序入侵，如何排查

 新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接
服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般
会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这
就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客
户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

 

SSH远程登录客户的Linux服务器，查看当前的进程发现有一个特别的进程占用了百分之100
的CPU，而且会持续不断的占用，我们查了查该进程，发现不是linux的系统进程，我们对进程
的目录进行查看，发现该进程是一个木马进程，再仔细进行安全分析，才确定是目前最新的挖
矿木马病毒，挖的矿分很多种，什么比特币，什么罗门币的，太多太多，看来现在的挖矿技术
扩展到了入侵服务器进行肉鸡挖矿了。

挖矿木马的检测与清除

 

我们在系统的目录下发现了挖矿木马主要是以 Q99sh命名的文件来控制客户的linux服务器，看
里面写的代码是以root权限运行，并自动启动计划任务，当服务器重启时继续执行计划任务，
导致客户怎么重启都于事无补，还是卡的要命。该木马代码还调用了一些Linux系统命令，bashe
bashd来挖矿，该命令是最直接也是占用CPU到顶峰的关键，太粗鲁了，这样的挖矿本身就会让
客户发现问题，看来挖矿者只顾着赚钱，不考虑长久之道了。

 

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，
仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查
当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病
毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，
客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击
状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开
发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重
的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，
SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器
一切稳定运行，网站打开正常。

可以，但是要有充足的证据。
针对利用公司网络进行挖矿是否已经达到解除劳动关系强度，并无明确规定。
1在《员工纪律行为规范制度》中，公司常规定员工可以在一定程度内使用公司的公共资源，本是一片好心；滥用、误用公司福利，不仅破坏公司正常生产秩序，还可能因为偷电、偷数据构成盗窃罪等刑事犯罪。2对于公司法务而言，一旦发生上述事件，做出与员工解除劳动合同关系的决策之前，一定要充实证据；员工的相关违约、侵害证据没有落实就贸然提诉讼，导致公司“赔了夫人又折兵”就将是可预期的必然。

世界上比特币70%的算力有中国提供，其中比较有名的是：
1、比特币中国
2、f2poll鱼池
……
不列举了。
每个人都可以组建矿池，只要你愿意，另外有人愿意加入。
注意如果没人加入，就只有你自己在这个矿池里和别人竞争，你的算力在全网恐怕沧海一粟都算不上，成功率太低。
所以一般的矿工都加入大矿池，不自己组建。
当然，如果你有实力，也可以自己组建矿池，这个资料是公开的，百度即可。谢谢。

虚拟货币不是真正意义上的货币，它是以数字化形式存在于网络世界中。与传统货币不同，虚拟货币不能作为货币在市场上流通使用，投资和交易虚拟货币也不受法律保护。虚拟货币不是货币当局发行，不具有法偿性、强制性等货币属性，不具有与货币等同的法律地位。
什么是“挖矿”

虚拟货币挖矿是一种获得虚拟货币的方式，运用计算机软硬件系统进行大量的算法运算，简单来讲就是全网矿工一起来做一道题目，谁先做出来，谁就会得到虚拟货币奖励。因此，“矿工”需要在区块努力工作，靠消耗计算资源来进行运算。

虚拟货币“挖矿”活动是通过专用“矿机”计算生产虚拟货币的过程，它的范围如下：
1伪装成数据中心的虚拟货币“挖矿”企业。
2为从事虚拟货币“挖矿”活动企业提供场地租赁等服务的企业和个人。
3通过非法手段获取电力供应，从事虚拟货币“挖矿”活动的企业。
4以其他多种隐藏形式进行“挖矿”的企业、网吧等。
“挖矿”行为危害大

1扰乱经济金融正常秩序。虚拟货币炒作交易扰乱我国正常金融秩序，催生违法犯罪活动，虚拟货币成为洗钱、逃税、恐怖融资和跨境资金转移的通道，一定程度威胁了社会稳定和国家安全，扰乱经济金融正常秩序。
2能源消耗量巨大。挖矿活动能耗和碳排放强度高，对我国实现能耗双控和碳达峰、碳中和目标带来较大影响，加大我国部分地区电力安全保供压力。
3具有潜在的网络安全风险。注册和交易服务器设置在境外，“矿机”通过互联网设定程序后参与“挖矿”存在网络安全漏洞，这给网络安全带来巨大隐患。
4极易成为犯罪工具。虚拟货币的账户匿名，外界无法知悉谁是其持有者，易成为非法转移资产、洗钱等违法犯罪活动的工具。
国家禁止虚拟货币“挖矿”
2017年9月4日，中国人民银行等七部委发布《关于防范代币发行融资风险的公告》：自公告发布之日起，各类代币发行（ICO）融资活动应当立即停止。已完成代币发行融资的组织和个人应当作出清退等安排，合理保护投资者权益，妥善处置风险。
2018年8月24日，银保监会、中央网信办、公安部、人民银行和市场监管总局联合发布《关于防范以“虚拟货币”“区块链”名义进行非法集资的提示》，指出有一些不法分子打着“区块链”，“金融创新”的旗号，通过发行所谓的“虚拟资产”、“数字资产”、“虚拟货币”等方式吸收资金，已经侵害到公众的合法权益了。
2021年9月24日，中国人民银行等十部门发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》，明确了虚拟货币相关业务活动属于非法金融活动，不具有与法定货币等同的法律地位，境外虚拟货币交易所通过互联网向我国境内居民提供服务同样属于非法金融活动等规定。同日，国家发改委等部门亦发布《关于整治虚拟货币“挖矿”活动的通知》，明确禁止以任何名义发展虚拟货币“挖矿”，严禁新增项目投资建设，加快存量项目有序退出。在多个条文政策的严打下，各省市迅速反应，开始打击虚拟货币交易与“挖矿”活动。

投资者应该擦亮眼睛，主动增强风险防范意识和自我保护意识，不盲目跟风炒作，以防止上当受骗造成经济损失。如发现有任何机构涉及此类非法金融活动，广大群众应及时向有关部门举报，涉及违法犯罪的，应及时向公安机关报案。

比特币挖矿机就是用于赚取比特币的计算机。这类计算机一般有专业的挖矿芯片，多采用安装大量显卡的方式工作，耗电量较大。计算机下载挖矿软件然后运行特定算法，与远方服务器通讯后可得到相应比特币，是获取比特币的方式之一。
根据中国人民银行等部门发布的通知、公告，虚拟货币不是货币当局发行，不具有法偿性和强制性等货币属性，并不是真正意义上的货币，不具有与货币等同的法律地位，不能且不应作为货币在市场上流通使用，公民投资和交易虚拟货币不受法律保护。
温馨提示：
①以上解释仅供参考，不作任何建议。相关产品由对应平台或公司发行与管理，我行不承担产品的投资、兑付和风险管理等责任。
② 入市有风险，投资需谨慎。您在做任何投资之前，应确保自己完全明白该产品的投资性质和所涉及的风险，详细了解和谨慎评估产品后，再自身判断是否参与交易。
应答时间：2021-11-15，最新业务变化请以平安银行官网公布为准。

---