有什么攻击矿机的方法

比特币挖矿机，就是用于赚取比特币的电脑，这类电脑一般有专业的挖矿芯片，多采用烧显卡的方式工作，耗电量较大。用户用个人计算机下载软件然后运行特定算法，与远方服务器通讯后可得到相应比特币，是获取比特币的方式之一。

挖矿实际是性能的竞争、装备的竞争，是矿工之间比拼算力，拥有较多算力的矿工挖到比特币的概率更大。随着全网算力上涨，用传统的设备（CPU、GPU）挖到比特的难度越来越大，人们开发出专门用来挖矿的芯片。芯片是矿机最核心的零件。芯片运转的过程会产生大量的热，为了散热降温，比特币矿机一般配有散热片和风扇。

比特币为一种虚拟的货币，比特币挖矿制度为通过计算机硬件为比特币网络开展数学运算的过程，提供服务的矿工可以得到一笔报酬，因为网络报酬依据矿工完成的任务来计算，为此挖矿的竞争十分激烈。

比特币挖矿开始于CPU 或者GPU 这种低成本的硬件，不过随着比特币的流行，挖矿的过程出现较大变化。如今，挖矿活动转移到现场可编程门阵列上来，通过优化可以实现哈希速度，这种模式的挖矿效率非常高。

问题定位及解决步骤：

1、free -m 查看内存使用状态 ，发现free基本没了。--> 怀疑是服务有内存泄漏，开始排查

2、使用top命令观察，开启的服务占用内存量并不大，且最终文档在一个值，且服务为java应用，内存并没达到父jvm设置上限。按top监控占用内存排序，加起来也不会超过物理内存总量。查看硬盘使用量，占用20%。基本排除虚拟内存占用过大的原因。--->排除服务内存泄漏因素，怀疑mysql和nginx，开始排查

3、因为top命令看 mysql占用内存也再可控范围，是否存在connection占用过多内存，发现并不会，设置最大连接数为1000，最多也不会超过几M。 nginx占用一直非常小。但每次最先被kill的基本都是nginx进程。所以排查，但发现无非就是openfiles数量啥的调整。发现也一切正常。且之前niginx可以正常使用的。

4、最为费解的就是 通过free -m 查看的时候 基本全是used，cache部分很少，free基本没有。但top上又找不到有哪些进程占用了内存。无解

5、注意到有两个进程虽占用内存不多，但基本耗光了100%的cpu。开始想着占cpu就占了，没占内存，现在是内存不不够导致进程被kill的，就没注意这点。

6、实在搞不定，重启服务器，重启了所有服务，服务暂时可用，回家。在路上的时候发现又崩了。忐忑的睡觉。

7、早上起来继续看，这次留意注意了下那两个占用高cpu的进程，kdevtmpfsi 和 networkservice。本着看看是啥进程的心态，百度了下。真相一目了然，两个挖矿病毒。

突然后知后觉的意识到错误原因：

1、cpu占用率高，正常服务使用cpu频率较高的服务最容易最内存超标。（因为在需要使用cpu时没cpu资源，内存大量占用，服务瞬间崩溃），然后看top发现刚刚已经占用内存的进程已经被kill了，所以没发现内存有高占用的情况。

2、后面的应用继续使用cpu时也会发生类似情况，倒是服务一个一个逐渐被kill。

问题点基本定位好了，解决问题就相对简单很多：

通过百度，google，常见的病毒清除步骤基本都能解决。这两个挖矿病毒很常见，大致记录下要点。可能所有病毒都会有这些基础 *** 作。

① 首先，查看当前系统中的定时任务：crontab -l

我服务器上有四个定时下载任务 通过wget 和 curl 下载病毒文件，把异常的删掉。要不然删了病毒文件还是会下载下来

crontab -r，全部删除命令（或根据需求删除定时任务）

② 查找病毒文件 可以全部模糊搜索 清除， 但病毒文件基本都用了chattr +i命令 使用chattr -i filename 后再使用rm -f filename 。可删除

③ kill 病毒进程，但注意kill了可能马上就重启了。因为有守护进程，需要把病毒进程的守护进程也kill掉

④ 检查是否root用户被攻击，可能系统配置信息被更改。

⑤ 最好能理解病毒脚本，通过看代码看它做了些什么。针对脚本取修复系统。

如果您的vivo手机中了挖矿病毒，建议您可以尝试以下步骤来清除：1 首先，您可以使用安全软件来查杀挖矿病毒；2 其次，您可以尝试清除手机中不必要的应用程序；3 最后，您可以尝试重新安装系统，以清除挖矿病毒。如果您的vivo手机中了挖矿病毒，建议您可以尝试以下步骤来清除：1 首先，您可以使用安全软件来查杀挖矿病毒；2 其次，您可以尝试清除手机中不必要的应用程序；3 最后，您可以尝试重新安装系统，以清除挖矿病毒。

斯洛文尼亚挖矿平台NiceHash周四在其官网发布一则声明，声称该平台遭遇黑客攻击，大量比特币被盗，目前平台各项服务已全面关闭。

NiceHash方面表示比特币被盗是因为钱包遭遇入侵，公司正在核实被盗的比特币数量，并配合有关部门进行调查。根据存储比特币钱包的地址显示，此次约有4700多枚比特币被盗。

NiceHash营销主管Andrej P kraba称，这是“一起高度专业化的攻击，社会工程(social engineering)手法老道”，丢失的4700枚比特币按当时价格计算价值约6392万美元，约合46亿人民币。他表示，公司正在配合当地有关当局的调查，但不愿透露更多信息。

据了解，NiceHash是数字货币挖矿算力市场，供寻求出售矿机算力的人来换取比特币。

事实上，像著名的特洛伊木马Cryptoshuffler这样的恶意软件攻击的不仅仅是比特币用户，还包括其他加密货币的用户，比如Ethereum、ZCash、Monero、Dash和Dogecoin。

11月，加密代币Tether的发行公司就公告了一起价值3100万美元的盗窃案。公告称，这些代币从Tether Treasury钱包被盗，然后被发送到了一个未经授权的比特币地址。该公司表示，不会赎回被盗的代币，正试图阻止它们进入代币生态系统。

在过去几年内，包括Bitfinex和MtGox在内的代币交易平台被盗事件频发，日本MtGox交易平台上的85万个比特币曾经被黑客洗劫一空，造成全球比特币市场“闪崩”，但这些事件对市场的影响似乎都是短暂的，比特币价格依然不断水涨船高。

苏宁金融研究院互联网金融中心主任薛洪言认为，和数字资产交易账户被盗的原因和yhk被盗刷其实是同样的原因，一般是用户名和密码泄露所致。而用户名和密码泄露则有多方面的原因，比如用户设备中了木马病毒、多个平台用同一套用户名和密码遭受撞库袭击、交易平台自身的系统漏洞导致用户的账户和密码泄露等。

卡巴斯基实验室的恶意软件分析师Sergey Yunakovsky认为，加密货币不再是一个遥不可及的技术。最近，我们观察到针对不同类型的加密货币的恶意软件攻击有所增加，我们预计这一趋势将继续下去。

而加密货币价格的飙涨是它们被黑客盯上的主要原因。比特币在本周上演疯狂上涨的行情，随着本周六美国市场比特币期货推出的临近，市场对比特币的狂热在周四达到新高潮，该数字货币价格在约40个小时内飙升了约40%，连续突破五个千元关口，升破17000美元。周四，一些交易所的比特币价格甚至一度升破19000美元，24小时内涨幅超50%。

近日，白帽子黑客Marco Ramilli捕获到了一封“奇特”的恶意电子邮件，其中包含一条链接，一旦点击就会导致一个名为“pikzip”的压缩文件被下载。之所以说它奇特，是因为包含在这个ZIP文件中的JavaScript脚本文件采用了西里尔字母进行命名——被命名为“Группа Компаний ПИК подробности заказа”，翻译过来就是“PIK集团公司订单详情”。

需要说明的是，目前使用西里尔字母的文字包括俄语、乌克兰语、卢森尼亚语、白俄罗斯语、保加利亚语、塞尔维亚语和马其顿语等，而PIK恰好就是俄罗斯的一家房地产公司，拥有超过14万名员工。也就是说，攻击者显然试图将电子邮件伪装成来自PIK公司，从而借助该公司的声誉开展攻击活动。

Marco Ramilli表示，攻击者使用了多种混淆技术来对该脚本JavaScript进行混淆处理。其中，在感染第一阶段阶段存在两个主要的混淆流：

该脚本最终会释放并执行一个虚假的图像文件“msgjpg”，该文件实际上是一个经过UPX加壳的Windows PE文件，被用于感染的第二阶段。

在感染的第二阶段，三个额外的模块会被释放并执行：一个后门木马、一个挖矿脚本和一种此前曾被广泛报道过的勒索病毒——Troldesh。

分析表明，第一个被释放的模块（327B0EF4exe）与Troldesh非常相似。该勒索病毒会在加密目标文件之后对其进行重命名并附加一个“crypted00000”扩展名。举例来说，当一个名为“1jp”的文件在被加密之后，其文件名就会被重命名为“hmv8IGQE5oYCLEd2IS3wZQ==135DB21A6CE65DAEFE26crypted000007”。同时，Troldesh还会篡改计算机桌面的壁纸，以显示勒索信息：

第二个被释放的模块（37ED0C97exe）是被证实一个名为“nheqminer”的挖矿脚本，被用于挖掘大零币（Zcash，一种加密货币）。

第三个安装被释放的模块（B56CE7B7exe）则被证实是Heur木马，该木马的主要功能是针对WordPress网站实施暴力破解，曾在2017年被广泛报道。

根据Marco Ramilli的说法，该木马的典型行为与HEURTrojanWin32Generic非常相似，包括：

一旦该木马安装成功，就会通过暴力破解来寻求弱口令凭证，而一旦发现了弱口令凭证，就将pikzip复制到这些WordPress网站中。

Marco Ramilli认为，此次攻击活动背后的攻击者显然试图通过多种渠道来牟利——勒索病毒和加密货币挖矿脚本。此外，攻击者还试图通过受感染计算机来暴力破解并控制随机的WordPress网站。这样的攻击活动工作量显然非常大，且很容易被检测到。因此，攻击者不太可能是某个国家黑客组织，而只是一群想要同时通过多种方式来牟利的网络犯罪分子。

1、首先使用find命令在IP地址中找到kdevtmpfsi进程的位置。

2、其次利用这个进程找到挖矿程序的守护进程并kill它，删除守护进程的文件，删除挖矿程序的所有文件。

3、最后杀死挖矿进程并删除它的定时任务即可。

挖矿流量特征是攻击者进行恶意挖矿。通过检测流量包里特定的字符串特征来进行恶意挖矿识别，但不同的协议不同版本的挖矿程序所携带的特征存在不确定性，同时被攻击者进行格式修改，从而会导致检测无效。

关于病毒及木马的问题，都说老生常谈的了，这里就不讲逆向分析的东西，网上毕竟太多。就写一下WannaMine20到40的手工处理 *** 作。确实，很多时候都被问的烦了。

WannaCry勒索与WannaMine挖矿，虽然首次发生的时间已经过去很久了，但依旧能在很多家内网见到这两个，各类杀毒软件依旧无法清除干净，但可以阻断外联及删除病毒主体文件，但依然会残留一些。此种情况下，全流量分析设备依旧可以监测到尝试外联，与445端口扫描行为。

WannaCry 在使用杀毒软件及手动清除攻击组件所在目录后，仍需手动cmd命令删除两个系统服务sc delete mssecsvc20与mssecsvc21。

WannaMine 全系使用“永恒之蓝”漏洞，在局域网内快速传播。且高版本会在执行成功后完全清除旧版本。

下图为WannaCry与WannaMine使用的永恒之蓝攻击组件相关文件。

WannaMine20版本

该版本释放文件参考如下：

C:\Windows\SpeechsTracing\Microsoft

C:\Windows\system32\wmassrvdll

C:\Windows\system32\HalPluginsServicesdll

C:\Windows\System32\EnrollCertXamldll 删除系统服务名与DLL文件对应的wmassrv。

WannaMine30版本

该版本释放文件参考如下：

C:\Windows\System32\MarsTraceDiagnosticsxmlC:\Windows\AppDiagnostics\C:\Windows\System32\TrustedHostexexeC:\Windows\System32\snmpstorsrvdll

需删除主服务snmpstorsrv与UPnPHostServices计划任务

WannaMine40版本

该版本释放文件参考如下：

C:\Windows\System32\rdpkaxxsl

C:\Windows\System32\dllhostexexe

C:\Windows\System32\ApplicationNetBIOSClientdll

C:\Windows\SysWOW64\ApplicationNetBIOSClientdll

C:\Windows\SysWOW64\dllhostexexe

C:\Windows\NetworkDistribution

<pre style="margin: 0px; padding: 0px; white-space: pre-wrap !important; overflow-wrap: break-word !important; max-width: 98%;">文件名随机组合参考• 第一部分：Windows、Microsoft、Network、Remote、Function、Secure、Application •第二部分：Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP •第三部分：Service、Host、Client、Event、Manager、Helper、System •rdp压缩文件随机字符串后缀：xml、log、dat、xsl、ini、tlb、msc</pre>

关于Windows下计划任务与启动项查看方式，建议在使用PCHunter、Autoruns、ProcessHacker等工具无法发现异常的情况下，可以到注册表下查看。

注册表下排查可疑的计划任务

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree

发现可疑项可至tasks下查看对应ID的Actions值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\tasks[上传失败(image-e8f3b4-1649809774433)]

计划任务文件物理目录

C:\Windows\System32\Tasks\Microsoft\Windows

新变种病毒有依靠 WMI 类属性存储 ShellCode 进行攻击，Autoruns可以用来检查WMI与启动项并进行删除，在手动删除病毒相关计划任务与启动项时，记得删除相应的文件与注册表ID对应项。

注册表下查看开机启动项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run或runOnce [上传失败(image-8a357b-1649809774432)]

以上就是关于有什么攻击矿机的方法全部的内容，包括:有什么攻击矿机的方法、服务器被rshim挖矿病毒攻击后 HugePages_Total 透明大页怎么都清不掉 一直占用内存 球球、vivo手机中了挖矿病毒怎么清除等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！