本文目录一览：

• 1、中了挖矿木马，我是如何清理的
• 2、求助服务器被挖矿程序入侵，如何排查
• 3、云服务器中挖矿病毒的清除过程（二）
• 4、挖矿病毒怎么排查
• 5、服务器上如何清除NrsMiner挖矿病毒
• 6、中挖矿病毒的表现

中了挖矿木马，我是如何清理的

建议楼主下载安装腾讯电脑管家来进行杀毒，

重启电脑按F8进入安全模式--打开腾讯电脑管家--杀毒--全盘扫描----顽固木马克星--深化扫描--完成重启电脑就可以了

腾讯电脑管家为国内首个采用“ 4+1 ”核“芯”杀毒引擎的专业杀毒软件，

应用腾讯自研第二代反病毒引擎“鹰眼”，

资源占用少，基于CPU虚拟执行技术能够根除顽固病毒，

大幅度提升深度查杀能力。

求助服务器被挖矿程序入侵，如何排查

 新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接

服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般

会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这

就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客

户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

SSH远程登录客户的Linux服务器，查看当前的进程发现有一个特别的进程占用了百分之100

的CPU，而且会持续不断的占用，我们查了查该进程，发现不是linux的系统进程，我们对进程

的目录进行查看，发现该进程是一个木马进程，再仔细进行安全分析，才确定是目前最新的挖

矿木马病毒，挖的矿分很多种，什么比特币，什么罗门币的，太多太多，看来现在的挖矿技术

扩展到了入侵服务器进行肉鸡挖矿了。

挖矿木马的检测与清除

我们在系统的目录下发现了挖矿木马主要是以 Q99.sh命名的文件来控制客户的linux服务器，看

里面写的代码是以root权限运行，并自动启动计划任务，当服务器重启时继续执行计划任务，

导致客户怎么重启都于事无补，还是卡的要命。该木马代码还调用了一些Linux系统命令，bashe

bashd来挖矿，该命令是最直接也是占用CPU到顶峰的关键，太粗鲁了，这样的挖矿本身就会让

客户发现问题，看来挖矿者只顾着赚钱，不考虑长久之道了。

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，

仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查

当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病

毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，

客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击

状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开

发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重

的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，

SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器

一切稳定运行，网站打开正常。

云服务器中挖矿病毒的清除过程（二）

发现一台服务器，CPU使用率一直50%左右，top查看一进程名称为

-bash，按c查看详情，名称显示为python

十分可疑

杀掉进程，清空crontab内容，并删除此目录文件，发现过一阵进程又被启动起来了

查看/etc/cron.hourly，发现有一个sync文件，还是会定时执行，内容为

此文件还被加了保护权限，需要用chattr去除后删除

cron.daily cron.weekly cron.monthly里面也有

同样方法删除/bin/sysdrr

至此病毒被彻底清除

删除/opt/.new目录时，发现此目录下还有一个/opt/.md目录，内容如下

病毒运行原理是

其他常用的诊断命令

关联文章：

云服务器中挖矿病毒的清除过程

服务器中毒导致的wget等系统命令失效后的恢复

参考文章：

【PC样本分析】记录最近与挖矿病毒的斗智斗勇

【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)

挖矿病毒怎么排查

使用腾讯电脑管家杀毒软件，全面的查杀病毒程序，总计四大反病毒引擎：腾讯电脑管家云引擎、金山云查杀、小红伞本地查杀引擎、趋势本地引擎，也就是说腾讯电脑管家电脑管家除了自家的云查杀引擎，还应用了国外两大品牌的本地查杀引擎，有力的保障了对病毒的精准查杀！！可以彻底的清理干净病毒木马程序！！

服务器上如何清除NrsMiner挖矿病毒

挖矿病毒完整清除过程如下，请在断网情况下进行：

1.停止并禁用Hyper-VAccess Protection Agent Service服务；

2.删除C:\Windows\system32\NrsDataCache.tlb；

3.删除C:\Windows\system32\vmichapagentsrv.dll，若删除失败，可重命名该文件为其他名称；

4.重启计算机；

5.删除C:\Windows\system32\SysprepThemes\和C:\Windows\SysprepThemes\目录；

6.删除C:\Windows\system32\SecUpdateHost.exe。

7.到微软官方网站下载对应操作系统补丁，下载链接如下：

8.安装国内主流杀毒软件，及时更新至最新病毒特征库。

中挖矿病毒的表现

故障现象：使用过程中，发现经常有服务无故关闭，登录服务器经检查，发现CPU使用率达到100%。在检测异常进程中，未发现CPU使用率异常的进程（使用 top、htop 以及 ps -aux 进行检查），于是报障。

检测过程：

1.找到他shell脚本对应目录把目录或者文件删除。

2.检查定时任务是否存在挖矿木马文件在定时任务中，避免定时运行挖矿木马文件。

3.添加hosts挖矿病毒访问对应网站，避免二次访问并下载。

4.排查liunx命令是否损坏，如损坏下载"procps-3.2.8"并编译，恢复top等系列命令。

5.检测进程是否异常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的网站程序是否存在漏洞，并排查下nginx或者apache日志审查漏洞所在处。

7.排查ssh登录日志。

8.把ssh登录切换成秘钥登录。

9.重启服务器，检查是否进程是否正常。