Trojan.Miner.gbq挖矿病毒分析报告 江民安全实验室2019-03-04共13635人围观 ，发现 1 个不明物体网络安全 2018年12月一款通过驱动人生升级通道下发传播的木马爆发，该木马同时利用了永恒之蓝高危漏洞进行传播 ...

背景： 突然有一天，服务器访问很慢很慢，进程查看发现CPU是100%，而且没有任何降低的意思 收集： 打开任务管理器，进程查看中CPU排序，发现一个System的进程，第一想法以为是空闲利用，发现结束掉之后瞬间又起来的 查了下描述中写的“Xmrig miner ”，全是挖矿病毒，试了 ...

一、软件准备：首先需要一款挖矿软件。在这里推荐Claymore's Dua Miner的官方原版。 注意： 1. 如果不了解，请不要在网上随意下载其它版本的挖矿软件或者Claymore's Dua Miner的破解版。网上流传的版本大多会将使用者的算力中的3～5%转移到一个私人账户中，对使用者 ...

发现CPU直接100% ...

　　公司服务器负载突然上来了，用top命令查看，发现了一个很诡异的进程； 　　然后grep这个进程的进程号，发现是运行在/tmp/.solr/solrd下；于是赶紧杀进程，删程序，负载就下来了； ...

1.top查看挖矿病毒运行的进程，cpu一般占用很大比例 2. cd /var/spool/cron 到里面去看是否多了www或其他的定时任务文件 3. cd /tmp 　然后 ll 查看一下，最近建的文件 挖矿程序一般都放这里面 4.查看项目 ...

kdevtmpfsi有守护进程，单独kill掉kdevtmpfsi进程会不断恢复占用。守护进程名称为kinsing，需要kill后才能解决问题。 #查询关联的守护进程[root@iZwz97v9b9 ...

CPU资源占用一直处于100%的状态，检查发现是kdevtmpfsi进程占用导致的。进程为挖矿程序。 kinsing 为它的守护进程 ps -aux | grep kinsing find / -name kdevtmpfsi 找到进程文件 删除它 find ...