服务器集群感染了挖矿木马该怎么办

我的答案 能够解决您的烦忧
杀毒啊，这个东西本身带毒是肯定的，按我说的彻底杀毒别用了
下载腾讯电脑管家“85”最新版，对电脑首先进行一个体检，打开所有防火墙避免系统其余文件被感染。
打开杀毒页面开始查杀，切记要打开小红伞引擎。
如果普通查杀不能解决问题，您可以打开腾讯电脑管家---工具箱---顽固木马专杀- 进行深度

问题定位及解决步骤：
1、free -m 查看内存使用状态 ，发现free基本没了。--> 怀疑是服务有内存泄漏，开始排查
2、使用top命令观察，开启的服务占用内存量并不大，且最终文档在一个值，且服务为java应用，内存并没达到父jvm设置上限。按top监控占用内存排序，加起来也不会超过物理内存总量。查看硬盘使用量，占用20%。基本排除虚拟内存占用过大的原因。--->排除服务内存泄漏因素，怀疑mysql和nginx，开始排查
3、因为top命令看 mysql占用内存也再可控范围，是否存在connection占用过多内存，发现并不会，设置最大连接数为1000，最多也不会超过几M。 nginx占用一直非常小。但每次最先被kill的基本都是nginx进程。所以排查，但发现无非就是openfiles数量啥的调整。发现也一切正常。且之前niginx可以正常使用的。
4、最为费解的就是 通过free -m 查看的时候 基本全是used，cache部分很少，free基本没有。但top上又找不到有哪些进程占用了内存。无解
5、注意到有两个进程虽占用内存不多，但基本耗光了100%的cpu。开始想着占cpu就占了，没占内存，现在是内存不不够导致进程被kill的，就没注意这点。
6、实在搞不定，重启服务器，重启了所有服务，服务暂时可用，回家。在路上的时候发现又崩了。忐忑的睡觉。
7、早上起来继续看，这次留意注意了下那两个占用高cpu的进程，kdevtmpfsi 和 networkservice。本着看看是啥进程的心态，百度了下。真相一目了然，两个挖矿病毒。
突然后知后觉的意识到错误原因：
1、cpu占用率高，正常服务使用cpu频率较高的服务最容易最内存超标。（因为在需要使用cpu时没cpu资源，内存大量占用，服务瞬间崩溃），然后看top发现刚刚已经占用内存的进程已经被kill了，所以没发现内存有高占用的情况。
2、后面的应用继续使用cpu时也会发生类似情况，倒是服务一个一个逐渐被kill。
问题点基本定位好了，解决问题就相对简单很多：
通过百度，google，常见的病毒清除步骤基本都能解决。这两个挖矿病毒很常见，大致记录下要点。可能所有病毒都会有这些基础 *** 作。
① 首先，查看当前系统中的定时任务：crontab -l
我服务器上有四个定时下载任务 通过wget 和 curl 下载病毒文件，把异常的删掉。要不然删了病毒文件还是会下载下来
crontab -r，全部删除命令（或根据需求删除定时任务）
② 查找病毒文件 可以全部模糊搜索 清除， 但病毒文件基本都用了chattr +i命令 使用chattr -i filename 后再使用rm -f filename 。可删除
③ kill 病毒进程，但注意kill了可能马上就重启了。因为有守护进程，需要把病毒进程的守护进程也kill掉
④ 检查是否root用户被攻击，可能系统配置信息被更改。
⑤ 最好能理解病毒脚本，通过看代码看它做了些什么。针对脚本取修复系统。

挖矿：即比特币挖矿，是一种利用电脑硬件计算出比特币的位置并获取的过程。

1，比特币（BitCoin）的概念最初由中本聪在2009年提出，根据中本聪的思路设计发布的开源软件以及建构其上的P2P网络。比特币是一种P2P形式的数字货币。点对点的传输意味着一个去中心化的支付系统。

2，比特币挖矿机，就是用于赚取比特币的电脑，这类电脑一般有专业的挖矿芯片，多采用烧显卡的方式工作，耗电量较大。

3，用户用个人计算机下载软件然后运行特定算法，与远方服务器通讯后可得到相应比特币，是获取比特币的方式之一，普通显卡不用试试了电费都不够，鲁大师里面有比特币测试，可以看你电脑挖一个比特币要多久。

蔚来汽车为何又被曝出不良事件？

员工被曝光出利用公司的电脑挖矿，这会对公司产生不良的影响。

随着科技的不断发展，燃油车已经慢慢的退出了现实生活已经有多家知名汽车品牌决定停止燃油车的生产，其中就有大家非常熟悉的比亚迪，而我们国内几个非常出众的新能源品牌也开始在慢慢的崛起，比如蔚来汽车。然而没想到根据相关媒体的报道，一篇来自于蔚来汽车公司内部的通报信息获得了大家的关注，在这份通报当中我们可以看出，蔚来的员工利用公司的电脑进行虚拟货币的挖掘工作并且从中获利。

毫无疑问这件事情已经给蔚来汽车公司带来了不好的影响，因为在通报当中我们可以看出这件事情公司并没有打算对外界宣布，而是在公司内部通报批评达到一个警示的作用，在通报当中发现这名员工在足足备着公司挖了一年的矿，才被发现这种监管漏洞属实是不应该。虽然他们一直都在强调自己是一个年轻的公司，并且在逐步和国际接轨，可是所曝光出来的问题却是非常的低级。

只不过这则消息是相关的媒体曝光出来，但是官方并没有给予出任何的回应，相信对于这种企业的污点事件，他们肯定不愿意被观众所熟知，但是被曝光之后自然而然要想出一个好的公关举措，毕竟如果给消费者们带来了不良的影响，很有可能导致大家不愿意去信任这样一个正在冉冉升起的新能源汽车品牌，毕竟连手下的员工都能够背着公司做出如此荒唐的事件，很难想象，这家公司是否会被着消费者做出一些更加出格的动作，甚至是窃取个人的身份信息等等。

既然此件事情已经报告出来，蔚来公司一定会寄出一个合理的答复。我们也希望这个回复可以越快越好，毕竟作为一个国内知名的新能源汽车品牌，他们已经在公众的心目当中有了一个公信度，在如此关键的成长阶段出现这么不好的负面新闻，稍微处理不善就有可能将其品牌的公信度大大减少，并且影响到今后的新品汽车发售以及销售问题。也希望官方能够注意到这件事情的严重性，从公司的内部进行一次彻彻底底的大审查，争取杜绝今后再在企业内部发生这样的事情。

蔚来员工利用公司服务器挖矿，虚拟货币其实就是一种没有信用背书的商品，虚拟货币没有任何实在价值，它的价格都是通过炒作得来的。

蔚来员工利用公司服务器挖矿一年才被发现成了大家茶余饭后的谈资，不少人觉得这名员工做得很过分，毕竟这本身就是侵占了公司利益的一种行为。然而大家关注点更加在虚拟货币上，虚拟货币在去年年中的时候曾经有过一股下跌潮，随着马斯克在虚拟货币市场的退出，比特币等虚拟货币一下就跌到了上涨之前的水平，不少的人都站在了山顶上——风吹屁屁凉。实话说，虚拟货币的涨跌是由市场炒作者们追捧导致的，虚拟货币没有任何价值，我们千万要慎重投资。

蔚来员工利用公司服务器挖虚拟货币——以太币

近日，一名知名博主在网上曝光了蔚来一员工利用公司服务器挖矿的新闻。该员工利用自己担任集群网管理员的便利，他已经利用公司的计算机挖矿挖了一年多，等到风控部门发现的时候，公司已经因为他的盗用行为而有一定损失。他的行为不仅涉及违反公司规定，同时也涉及非法控制计算机系统罪，根据该公司合规管理部门的访谈，该员工对自己的违法行为供认不讳。其实这种挖以太币的行为是让人感到不解的，毕竟挖矿也可以自己挖，利用公司的网络挖完全没有这种必要，毕竟这是一种违法犯罪行为。

虚拟货币：本质上是一种没有信用背书的商品

该员工涉及的虚拟货币叫做以太币，以太币是以太房弄出的一种虚拟货币，这种虚拟货币也是没有任何价值的。虚拟货币就是一种没有信用背书的一无所知的商品，按照虚拟货币的价格趋势我们可以发现：市场推动的时候虚拟货币价格就高，市场低潮的时候虚拟价格就低。总的来说，虚拟货币是受到市场推动影响而有价格波动的，虚拟货币并没有自身价，只可言虚拟货币的价格只是炒作出来的而已。

蔚来员工利用职务之便，从2021年2月开始使用公司服务器进行挖矿，从中获取利益，这个行为明显已经触犯了我国的相关法律。

根据蔚来公司通报的调查结果上看，该员工已经严重违反了蔚来汽车公司的规定，并且已经涉嫌违反了《刑法》第285条第二款非法控制计算机信息罪，在这个事件当中，服务器本是作为公司运营以及数据处理等专项事务，但是这名员工利用自己职务之便安装挖矿软件，非法从事虚拟币挖矿行为，所以他可能涉嫌非法控制计算机信息罪。

而根据资料显示，如果涉嫌犯此罪的人员，将被处3年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处3年以上七年以下有期徒刑，并处罚金。

其实利用公司资源进行非法挖矿行为早有先例，在2018年1月到5月期间，百度一个运维员工就曾经在百度公司服务器上安装挖矿程序，通过公司的资源谋取暴利，之后将挖矿所得的虚拟货币卖出，从中获得10万元人民币，后来，在百度公司的追查下，这名员工才被发现，并且因涉嫌非法控制计算机信息系统罪被判有期徒刑三年，并处罚金11万元，扣押违法所得10万元整。

而对于挖矿这个行为，国家是坚决打击的，目前相关的省份也出台了相关的文件，表面上只是提高了挖矿公司的电费，实际上是为了让从事挖矿的人员知难而退，因为电费一旦上涨，那么相对应的挖矿成本也就增加了。

综上所述，该蔚来员工利用职务之便进行挖矿行为，已经涉嫌非法控制计算机信息系统罪，所以，他极有可能会因为此罪名而被起诉。

---