挖礦進程守護

A. 挖礦病毒怎麼處理

挖礦病毒處理步驟如下：

1、查看伺服器進程運行狀態查看伺服器系統整體運行情況，發現名為kdevtmpfsi的挖礦進程大量佔用系統CPU使用率。

2、查看埠及外聯情況查看埠開放狀態及外聯情況，發現主機存在陌生外聯行為。對該外部地址進行查詢發現屬於國外地址，進一步確定該進程為惡意挖礦進程：定位挖礦進程及其守護進程PID挖礦病毒kdevtmpfsi在運行過程中不僅會產生進程kdevtmpfsi。

6、查看redis日誌通過查看redis配置文件/etc/redis.conf發現日誌功能未開啟。

7、查找敏感文件發現authorized_keys文件。

8、查看ssh日誌文件查看ssh日誌文件，發現大量登陸痕跡以及公鑰上傳痕跡。

B. IP地址被疑挖礦怎麼辦

1、首先使用find命令在IP地址中找到kdevtmpfsi進程的位置。
2、其次利用這個進程找到挖礦程序的守護進程並kill它，刪除守護進程的文件，刪除挖礦程序的所有文件。
3、最後殺死挖礦進程並刪除它的定時任務即可。

C. 鐢佃剳琚鎸栫熆鎬庝箞鍔

鐢佃剳琚鎸栫熆鏄涓縐嶆伓鎰忕▼搴忚鍑伙紝鐭垮伐紼嬪簭浼氬埄鐢ㄧ數鑴戠殑璁＄畻鑳藉姏鏉ユ寲鎺樺姞瀵嗚揣甯侊紝浠庤岀洍鍙栬＄畻鑳藉姏銆傝繖縐嶆敾鍑諱細娑堣楀ぇ閲忕殑璁＄畻鑳藉姏鍜岀數鍔涜祫婧愶紝瀵艱嚧鐢佃剳榪愯岀紦鎱錛屼笖鍗卞蟲у緢澶с傚傛灉浣犵殑鐢佃剳琚鎸栫熆浜嗭紝閭ｄ箞浣犲簲璇ラ噰鍙栦互涓嬫ラゆ潵瑙ｅ喅錛

1. 鎵鎻忕棶姣
棣栧厛錛屼綘闇瑕佽繍琛屾潃姣掕蔣浠舵潵鎵鎻忕棶姣掋傛潃姣掕蔣浠跺彲浠ヨ瘑鍒鍜屾竻闄ょ熆宸ョ▼搴忓拰鍏朵粬鎮舵剰杞浠躲傚傛灉浣犳病鏈夊畨瑁呮潃姣掕蔣浠訛紝閭ｄ箞浣犻渶瑕佸畨瑁呬竴涓鏉ヤ繚鎶や綘鐨勭數鑴戙傛敞鎰忥紝浣犻渶瑕佸畾鏈熸洿鏂頒綘鐨勬潃姣掕蔣浠訛紝浠ヤ究淇濇寔鍏舵渶鏂扮殑鐥呮瘨瀹氫箟銆
2. 鏌ユ壘騫跺仠姝㈣繘紼
涓鏃︽潃姣掕蔣浠舵嫻嬪埌鐥呮瘨錛屼綘闇瑕佹墜鍔ㄦ煡鎵懼苟鍋滄㈢浉鍏崇殑榪涚▼銆傝繘紼嬪彲浠ラ氳繃浠誨姟綆＄悊鍣ㄦ垨鍏朵粬榪涚▼綆＄悊宸ュ叿鏉ユ煡鎵俱備竴鏃︽壘鍒頒簡鐭垮伐紼嬪簭鐨勮繘紼嬶紝浣犻渶瑕佸仠姝㈠畠錛屼互闃叉㈠叾緇х畫娑堣椾綘鐨勮＄畻鑳藉姏銆
3. 鏇存敼瀵嗙爜
濡傛灉浣犵殑鐢佃剳琚鏀誨嚮錛岄偅涔堟湁鍙鑳芥槸鍥犱負浣犵殑瀵嗙爜琚鐩楋紝鎴栬呬綘鐨勭數鑴戝畨鍏ㄦ帾鏂戒笉瓚熾傛墍浠ワ紝浣犻渶瑕佹洿鏀逛綘鐨勫瘑鐮侊紝騫舵彁楂樹綘鐨勫畨鍏ㄦ帾鏂斤紝鍖呮嫭瑙ｉ攣浣犵殑闃茬伀澧欏拰鍏抽棴榪滅▼妗岄潰榪炴帴絳夈
4. 鏇存柊杞浠
鐭垮伐紼嬪簭鍜屽叾浠栨伓鎰忚蔣浠墮氬父浼氬埄鐢ㄥ畨鍏ㄦ紡媧炴潵鏀誨嚮浣犵殑鐢佃剳銆傝侀伩鍏嶈繖縐嶆儏鍐碉紝浣犻渶瑕佸畾鏈熸洿鏂頒綘鐨勮蔣浠跺拰緋葷粺銆傛洿鏂板彲浠ヤ慨澶嶅凡鐭ョ殑瀹夊叏婕忔礊銆
5. 澶囦喚鏁版嵁
鏈鍚庯紝浣犻渶瑕佸囦喚浣犵殑鏁版嵁銆傚囦喚鍙浠ヤ繚鎶や綘鐨勯噸瑕佹枃浠跺拰鏁版嵁鍏嶅彈鎹熷潖鍜屼涪澶便備綘鍙浠ュ皢鏁版嵁澶囦喚鍒頒簯瀛樺偍鎴栧栭儴瀛樺偍鍣ㄤ腑銆
鎬葷粨
鐢佃剳琚鎸栫熆鏄涓縐嶅父瑙佺殑鎮舵剰紼嬪簭鏀誨嚮錛屽畠浼氬嵄鍙婁綘鐨勮＄畻鑳藉姏鍜岀數鍔涜祫婧愩傚傛灉浣犵殑鐢佃剳琚鏀誨嚮錛屼綘闇瑕佽繍琛屾潃姣掕蔣浠舵潵鎵鎻忕棶姣掞紝騫舵壘鍒板苟鍋滄㈢浉鍏崇殑榪涚▼銆備綘榪橀渶瑕佹洿鏀逛綘鐨勫瘑鐮侊紝鏇存柊浣犵殑杞浠跺拰緋葷粺錛屽苟澶囦喚浣犵殑鏁版嵁銆備互涓婅繖浜涙ラゅ彲浠ュ府鍔╀綘瑙ｅ喅鐢佃剳琚鎸栫熆鐨勯棶棰橈紝浠ュ府鍔╀綘淇濇姢浣犵殑鐢佃剳鍜屾暟鎹銆

D. 伺服器被攻擊並植入kdevtmpfsi挖礦/病毒/木馬

MongoDB庫中的數據莫名其妙沒有了，發覺如下信息：

1、 top -d 5命令 ，查看系統負載情況、是否有未知進程，發現一個名為kdevtmpfsi的進程，經科普它是一個挖礦程序，會佔用伺服器高額的CPU、內存資源。如圖，CPU佔用率高達788.7%，而且是yarn用戶下：

2、 ps -ef |grep kdevtmpfsi 命令查看 該挖礦程序路徑：/tmp/kdevtmpfsi

3、 ps -ef |grep yarn 命令查看更多關於yarn相關進程信息（此時我的伺服器並沒有開啟yarn服務，如果有yarn的相關進程則可判斷是攻擊者開啟的進程），發現另外還有個kinsing進程，經科普kinsing進程是kdevtmpfsi的守護進程：

4、 netstat -lntupaa 命令查看是否有異常的ip,果然發現194.87.102.77這個陌生的ip，判斷是kdevtmpfsi的發出者：

5、經查詢該ip的所在國家是俄羅斯：

6、 find / -iname kdevtmpfsi 命令再次確定命令所在位置以便刪除：

7、 cd /tmp 進入相關目錄：

8、 rm -rf kdevtmpfsi 刪除kdevtmpfsi程序：

9、** kill -9 40422**殺掉kdevtmpfsi進程：

10、發現並沒殺掉所有kdevtmpfsi進程，再次查找yarn的相關進程（因為之前已確認病毒是在yarn下），果真還有kdevtmpfsi進程存在：

11、用命令 批量殺掉 相關進程：

12、刪除kinsing文件：

13、現在，已經把挖礦程序及相關進程刪除掉了，但是還有兩處沒做處理：

14、 crontab -l 命令先看看crontab的定時任務列表吧：

15、編寫刪除挖礦程序腳本 kill_kdevtmpfsi.sh ：

16、新增 定時任務 並刪除攻擊者的挖礦定時任務：

17、 crontab -l命令 查看現在只有殺進程的定時任務了：

18、禁止黑客的IP地址。

最初安裝MongoDB時，並未設置密碼認證，存在漏洞，導致黑客通過漏洞攻擊伺服器，並在程序里植入木馬/病毒。單純的kill -9 id殺掉病毒進程是殺不徹底的，治標不治本，應該定時刪除病毒進程，禁止攻擊者IP，重新安裝系統或相關軟體。

經過幾天的觀察，伺服器運行正常，再沒有被黑客攻擊成功。

E. 泰拉瑞亞一鍵挖礦怎麼設置

1.在電腦中啟動泰拉瑞亞。
2.進入游戲，裝備一把鎬子。
3.找到要挖的地方，按Ctrl切換挖礦模式。
《泰拉瑞亞》是由Re-Logic公司開發的一款高自由度的沙盒游戲，於2011年5月16日在PC上發行。
《泰拉瑞亞》Switch中文版於2019年12月19日發售。玩家可以在游戲中做很多事情：製造武器戰勝各種各樣的敵人及群落；挖掘地下尋找器材配件、金錢和其他有用的東西；收集木材，石材，礦石等資源；用世界裡的一切創造你需要的東西並守護它。

F. 妄想山海怎麼挖礦最快各類礦山位置匯總

妄想山海怎麼挖礦最快各類礦山位置匯總,相信很多小夥伴對這一塊不太清楚，接下來小編就為大家介紹一下妄想山海怎麼挖礦最快各類礦山位置匯總，有興趣的小夥伴可以來了解一下哦。
怎麼挖礦最快
礦山位置:
白金岩握蠢礦山，赤金礦山，黃金礦山和混合礦山4種分別產出就如名字一樣對應著白金礦山產出白金這樣。
不過要特別皮埋注意要點開挖礦里對應的天賦才行要不然挖不出來的哦!
白金礦山只分部於南山大陸
赤金礦山只分部於東山大陸
黃金礦山只分部於西山大陸
混合礦山只出現於中山大陸血量較高產出白，黃，赤3種金屬
礦山位置都為固定刷新且有較為強大的NPC守護，其中有些礦山還有一種會飛的礦山守衛者傷害極高。
挖礦技巧:
建議在離礦山距離較為安全的地方放置息壤或者篝火在騎飛行坐騎或者道具從天而降進行挖掘，建議使用大錘挖掘(普通挖掘，攻城炮和攻城錘都可破壞礦山)住:礦山不受到挖礦天賦的數量加成，且為建築結構及破壞支點會破壞上方礦山石無法獲得材料。
還有一種方法是一個人拉怪一個人挖取或帶上息壤建設一個小房子拉取怪物到一定距離脫戰讓小房子卡主怪物回去的路線即可。
總結：
礦石是極其重要的材料，可以製作武器，是粗陪前中後期都需要採集的重要資源，找到好的礦石就需要找礦山，位置已經為大家羅列出來了。

G. 能源區塊鏈研究丨比特幣挖礦的發展進程

比特幣目前還沒發展到成長期，但隨著比特幣挖礦速度開始加快，該行業有望實現大幅增長。

2008年10月，在中本聰發表白皮書詳細介紹如何創建新貨幣體系時，沒有人料到在之後不到13年的時間里，比特幣的市值能夠飆升至8500億美元。此外，比特幣還衍生出了數千種其他類型的加密貨幣，形成了一整個金融服務行業，並發展成為一種新的資產類別，徹底改變了我們所熟知的貨幣類型。

我們公司已從事比特幣挖礦活動七年了，並推動了該行業的發展和適應。下面我們將介紹一些鮮為人知的比特幣挖礦發展過程以及對該行業有重大影響的一些趨勢。

比特幣挖礦的產生

比特幣是一種去中心化貨幣體系，其作用類似於黃金，是一種擁有價值儲藏手段的有限商品。這意味著比特幣的供應有限，目前僅存2100萬個比特幣，這使得其不易受通貨膨脹影響。想要使用比特幣的人們無需受有權改變其價值或決定用戶使用權的政府監督。

那麼，比特幣本身從何而來呢？與黃金一樣，比特幣必須經過挖掘才能獲得，但不是用鎬和鐵鍬，而是用計算機進行挖掘。

比特幣以區塊鏈技術為基礎。世界各地的礦工們競相解一種演算法，為的是可以在區塊鏈中添加一個區塊。率先解出該演算法的人可以獲得該區塊的交易費用和新幣發行的固定獎勵（目前是每個區塊獲得6.25個比特幣），而這會增加比特幣的流通量。

最初創建比特幣時，挖礦非常容易，礦工們在廚房就可利用配備標准中央處理器的筆記本電腦進行挖礦。但隨著越來越多礦工的加入，解演算法這一競爭愈發激烈，這也意味著礦工們需要更強的數據處理能力和更新的硬體設備。為了有效運行更強大的計算機，電費價格開始受到重視。很快，由於挖礦競爭過於激烈，個體挖礦便不再具有盈利性。

價值數十億美元行業的誕生

要想盈利，就必須擴大挖礦業務的規模。目前，市場上出現了新的挖礦專用硬體，礦工們也在拖車和倉庫中安裝了礦機，以便擁有數千台礦機的大型礦場全天候解決演算法問題。大規模礦場的運營包括布局和設計、能源、軟體管理以及硬體更新，在這些運營需求的推動下，比特幣挖礦迅速發展為一個價值數十億美元的行業。

方舟投資（ARK Invest）的報告顯示，支持生態系統的硬體成本約為72億美元，此外，該報告稱，「自比特幣專用硬體2013年面世以來，我們認為已有數十億美元用於設計、生產和流片，這也衍生出了一個專門製造這種強大而又專業硬體的行業。

比特幣挖礦雖然操作復雜，但是利潤頗豐。方舟投資預計，礦工們可以獲得150億美元的收入，這些收入來自交易費用和比特幣固定獎勵。

競爭催生新硬體

比特幣挖礦的競爭不斷加劇，但由於比特幣是一種有限商品，所以挖礦的競爭也是有限的。這意味著挖礦運算需要盡可能以高性能保持高速運行，如此才能獲得獎勵。

由於比特幣挖礦日益激烈的競爭提高了對計算能力的要求，所以挖礦競爭也就變成了顯卡競爭，而顯卡是 游戲 玩家通常在高端 游戲 中才會使用的硬體。後來，專用集成電路逐漸取代了顯卡，這是專門用於挖掘加密貨幣的一種硬體，是比特幣挖礦中速度最快、效率最高的硬體，目前僅在挖礦中使用。

但硬體依賴於晶元，雖然目前晶元技術不斷加速發展，但晶元還是供不應求。這意味著挖礦運算需要提前規劃升級，而且必要的硬體經常售罄，比如比特大陸最近正面臨短缺。

新技術最有望實現盈利

同樣，比特幣挖礦需要跟上技術發展的步伐，能使挖礦硬體更大、更好、更快，因為一旦效率滯後就會造成盈利受損。如今，技術不斷超越創新，因此挖礦不僅需要跟上購買新硬體的步伐，還需要迅速安裝新硬體。這是因為時間至關重要，即使只延遲幾天都會造成嚴重損失，所以許多挖礦作業（比如我們公司的挖礦）都租用了波音747s以減少運輸時間。

西方礦工人數增加

長期以來，全球超過一半的挖礦能源來自中國，主要原因是在中國設立工廠的成本更低，運輸速度更快。但隨著中國加大對比特幣挖礦的打擊力度，這些優勢正在消亡。據《連線》雜志報道，「比特幣挖礦的地理分布可能正在發生變化，」該業務或轉向北美、歐洲和拉美等地。礦工們也計劃在北歐國家、加拿大和美國等地尋找挖礦地點，這些地方擁有大量廉價的可持續能源，如風能、太陽能和水能等。

比特幣的未來

盡管比特幣最近出現了許多波動（這並不新鮮），但是比特幣的未來是光明的，其價值將繼續上漲，並且會吸引新的投資者。隨著越來越多的人們開始了解比特幣，了解其來源和挖礦方式，人們還將從比特幣中發現更多價值。

H. 伺服器被rshim挖礦病毒攻擊後 HugePages_Total 透明大頁怎麼都清不掉 一直佔用內存 球球

問題定位及解決步驟：

1、free -m 查看內存使用狀態 ，發現free基本沒了。--> 懷疑是服務有內存泄漏，開始排查

2、使用top命令觀察，開啟的服務佔用內存量並不大，且最終文檔在一個值，且服務為java應用，內存並沒達到父jvm設置上限。按top監控佔用內存排序，加起來也不會超過物理內存總量。查看硬碟使用量，佔用20%。基本排除虛擬內存佔用過大的原因。--->排除服務內存泄漏因素，懷疑mysql和nginx，開始排查

3、因為top命令看 mysql佔用內存也再可控范圍，是否存在connection佔用過多內存，發現並不會，設置最大連接數為1000，最多也不會超過幾M。 nginx佔用一直非常小。但每次最先被kill的基本都是nginx進程。所以排查，但發現無非就是openfiles數量啥的調整。發現也一切正常。且之前niginx可以正常使用的。

4、最為費解的就是 通過free -m 查看的時候 基本全是used，cache部分很少，free基本沒有。但top上又找不到有哪些進程佔用了內存。無解

5、注意到有兩個進程雖佔用內存不多，但基本耗光了100%的cpu。開始想著佔cpu就佔了，沒占內存，現在是內存不不夠導致進程被kill的，就沒注意這點。

6、實在搞不定，重啟伺服器，重啟了所有服務，服務暫時可用，回家。在路上的時候發現又崩了。忐忑的睡覺。

7、早上起來繼續看，這次留意注意了下那兩個佔用高cpu的進程，kdevtmpfsi 和 networkservice。本著看看是啥進程的心態，網路了下。真相一目瞭然，兩個挖礦病毒。

突然後知後覺的意識到錯誤原因：

1、cpu佔用率高，正常服務使用cpu頻率較高的服務最容易最內存超標。（因為在需要使用cpu時沒cpu資源，內存大量佔用，服務瞬間崩潰），然後看top發現剛剛已經佔用內存的進程已經被kill了，所以沒發現內存有高佔用的情況。
2、後面的應用繼續使用cpu時也會發生類似情況，倒是服務一個一個逐漸被kill。

問題點基本定位好了，解決問題就相對簡單很多：
通過網路，google，常見的病毒清除步驟基本都能解決。這兩個挖礦病毒很常見，大致記錄下要點。可能所有病毒都會有這些基礎操作。

① 首先，查看當前系統中的定時任務：crontab -l
我伺服器上有四個定時下載任務 通過wget 和 curl 下載病毒文件，把異常的刪掉。要不然刪了病毒文件還是會下載下來
crontab -r，全部刪除命令（或根據需求刪除定時任務）

② 查找病毒文件 可以全部模糊搜索 清除， 但病毒文件基本都用了chattr +i命令 使用chattr -i filename 後再使用rm -f filename 。可刪除

③ kill 病毒進程，但注意kill了可能馬上就重啟了。因為有守護進程，需要把病毒進程的守護進程也kill掉

④ 檢查是否root用戶被攻擊，可能系統配置信息被更改。

⑤ 最好能理解病毒腳本，通過看代碼看它做了些什麼。針對腳本取修復系統。

I. top cpu飆高,中了挖礦程序----解決方法

1.發現cpu異常,查看對應的進程信息

2.查看進程發現是挖礦進程在執行

3.確定是挖礦病毒,查看進程的執行文件鏈接到哪裡,發現是jenkins的工作目錄,最後結果發現是jenkins的漏洞導致自動創建CI計劃,進行啟動挖礦腳本

4.查看虛機密碼是否被破解登錄

5.查找挖礦文件

6.檢查定時任務腳本

jenkins CVE-2018-1999002 漏洞修復: https://paper.seebug.org/648/
jenkings漏洞利用: https://xz.aliyun.com/t/4756
CI安全隱患: https://www.jianshu.com/p/8939aaec5f25
jenkins漏洞描述地址: https://www.cyberark.com/threat-research-blog/tripping-the-jenkins-main-security-circuit-breaker-an-inside-look-at-two-jenkins-security-vulnerabilities/