挖矿进程守护

A. 挖矿病毒怎么处理

挖矿病毒处理步骤如下：

1、查看服务器进程运行状态查看服务器系统整体运行情况，发现名为kdevtmpfsi的挖矿进程大量占用系统CPU使用率。

2、查看端口及外联情况查看端口开放状态及外联情况，发现主机存在陌生外联行为。对该外部地址进行查询发现属于国外地址，进一步确定该进程为恶意挖矿进程：定位挖矿进程及其守护进程PID挖矿病毒kdevtmpfsi在运行过程中不仅会产生进程kdevtmpfsi。

6、查看redis日志通过查看redis配置文件/etc/redis.conf发现日志功能未开启。

7、查找敏感文件发现authorized_keys文件。

8、查看ssh日志文件查看ssh日志文件，发现大量登陆痕迹以及公钥上传痕迹。

B. IP地址被疑挖矿怎么办

1、首先使用find命令在IP地址中找到kdevtmpfsi进程的位置。
2、其次利用这个进程找到挖矿程序的守护进程并kill它，删除守护进程的文件，删除挖矿程序的所有文件。
3、最后杀死挖矿进程并删除它的定时任务即可。

C. 鐢佃剳琚鎸栫熆鎬庝箞鍔

鐢佃剳琚鎸栫熆鏄涓绉嶆伓鎰忕▼搴忚鍑伙紝鐭垮伐绋嬪簭浼氬埄鐢ㄧ數鑴戠殑璁＄畻鑳藉姏鏉ユ寲鎺樺姞瀵嗚揣甯侊紝浠庤岀洍鍙栬＄畻鑳藉姏銆傝繖绉嶆敾鍑讳細娑堣楀ぇ閲忕殑璁＄畻鑳藉姏鍜岀數鍔涜祫婧愶紝瀵艰嚧鐢佃剳杩愯岀紦鎱锛屼笖鍗卞虫у緢澶с傚傛灉浣犵殑鐢佃剳琚鎸栫熆浜嗭紝閭ｄ箞浣犲簲璇ラ噰鍙栦互涓嬫ラゆ潵瑙ｅ喅锛

1. 鎵鎻忕梾姣
棣栧厛锛屼綘闇瑕佽繍琛屾潃姣掕蒋浠舵潵鎵鎻忕梾姣掋傛潃姣掕蒋浠跺彲浠ヨ瘑鍒鍜屾竻闄ょ熆宸ョ▼搴忓拰鍏朵粬鎭舵剰杞浠躲傚傛灉浣犳病鏈夊畨瑁呮潃姣掕蒋浠讹紝閭ｄ箞浣犻渶瑕佸畨瑁呬竴涓鏉ヤ繚鎶や綘鐨勭數鑴戙傛敞鎰忥紝浣犻渶瑕佸畾鏈熸洿鏂颁綘鐨勬潃姣掕蒋浠讹紝浠ヤ究淇濇寔鍏舵渶鏂扮殑鐥呮瘨瀹氫箟銆
2. 鏌ユ壘骞跺仠姝㈣繘绋
涓鏃︽潃姣掕蒋浠舵娴嬪埌鐥呮瘨锛屼綘闇瑕佹墜鍔ㄦ煡鎵惧苟鍋滄㈢浉鍏崇殑杩涚▼銆傝繘绋嬪彲浠ラ氳繃浠诲姟绠＄悊鍣ㄦ垨鍏朵粬杩涚▼绠＄悊宸ュ叿鏉ユ煡鎵俱備竴鏃︽壘鍒颁簡鐭垮伐绋嬪簭鐨勮繘绋嬶紝浣犻渶瑕佸仠姝㈠畠锛屼互闃叉㈠叾缁х画娑堣椾綘鐨勮＄畻鑳藉姏銆
3. 鏇存敼瀵嗙爜
濡傛灉浣犵殑鐢佃剳琚鏀诲嚮锛岄偅涔堟湁鍙鑳芥槸鍥犱负浣犵殑瀵嗙爜琚鐩楋紝鎴栬呬綘鐨勭數鑴戝畨鍏ㄦ帾鏂戒笉瓒炽傛墍浠ワ紝浣犻渶瑕佹洿鏀逛綘鐨勫瘑鐮侊紝骞舵彁楂樹綘鐨勫畨鍏ㄦ帾鏂斤紝鍖呮嫭瑙ｉ攣浣犵殑闃茬伀澧欏拰鍏抽棴杩滅▼妗岄潰杩炴帴绛夈
4. 鏇存柊杞浠
鐭垮伐绋嬪簭鍜屽叾浠栨伓鎰忚蒋浠堕氬父浼氬埄鐢ㄥ畨鍏ㄦ紡娲炴潵鏀诲嚮浣犵殑鐢佃剳銆傝侀伩鍏嶈繖绉嶆儏鍐碉紝浣犻渶瑕佸畾鏈熸洿鏂颁綘鐨勮蒋浠跺拰绯荤粺銆傛洿鏂板彲浠ヤ慨澶嶅凡鐭ョ殑瀹夊叏婕忔礊銆
5. 澶囦唤鏁版嵁
鏈鍚庯紝浣犻渶瑕佸囦唤浣犵殑鏁版嵁銆傚囦唤鍙浠ヤ繚鎶や綘鐨勯噸瑕佹枃浠跺拰鏁版嵁鍏嶅彈鎹熷潖鍜屼涪澶便備綘鍙浠ュ皢鏁版嵁澶囦唤鍒颁簯瀛樺偍鎴栧栭儴瀛樺偍鍣ㄤ腑銆
鎬荤粨
鐢佃剳琚鎸栫熆鏄涓绉嶅父瑙佺殑鎭舵剰绋嬪簭鏀诲嚮锛屽畠浼氬嵄鍙婁綘鐨勮＄畻鑳藉姏鍜岀數鍔涜祫婧愩傚傛灉浣犵殑鐢佃剳琚鏀诲嚮锛屼綘闇瑕佽繍琛屾潃姣掕蒋浠舵潵鎵鎻忕梾姣掞紝骞舵壘鍒板苟鍋滄㈢浉鍏崇殑杩涚▼銆備綘杩橀渶瑕佹洿鏀逛綘鐨勫瘑鐮侊紝鏇存柊浣犵殑杞浠跺拰绯荤粺锛屽苟澶囦唤浣犵殑鏁版嵁銆備互涓婅繖浜涙ラゅ彲浠ュ府鍔╀綘瑙ｅ喅鐢佃剳琚鎸栫熆鐨勯棶棰橈紝浠ュ府鍔╀綘淇濇姢浣犵殑鐢佃剳鍜屾暟鎹銆

D. 服务器被攻击并植入kdevtmpfsi挖矿/病毒/木马

MongoDB库中的数据莫名其妙没有了，发觉如下信息：

1、 top -d 5命令 ，查看系统负载情况、是否有未知进程，发现一个名为kdevtmpfsi的进程，经科普它是一个挖矿程序，会占用服务器高额的CPU、内存资源。如图，CPU占用率高达788.7%，而且是yarn用户下：

2、 ps -ef |grep kdevtmpfsi 命令查看 该挖矿程序路径：/tmp/kdevtmpfsi

3、 ps -ef |grep yarn 命令查看更多关于yarn相关进程信息（此时我的服务器并没有开启yarn服务，如果有yarn的相关进程则可判断是攻击者开启的进程），发现另外还有个kinsing进程，经科普kinsing进程是kdevtmpfsi的守护进程：

4、 netstat -lntupaa 命令查看是否有异常的ip,果然发现194.87.102.77这个陌生的ip，判断是kdevtmpfsi的发出者：

5、经查询该ip的所在国家是俄罗斯：

6、 find / -iname kdevtmpfsi 命令再次确定命令所在位置以便删除：

7、 cd /tmp 进入相关目录：

8、 rm -rf kdevtmpfsi 删除kdevtmpfsi程序：

9、** kill -9 40422**杀掉kdevtmpfsi进程：

10、发现并没杀掉所有kdevtmpfsi进程，再次查找yarn的相关进程（因为之前已确认病毒是在yarn下），果真还有kdevtmpfsi进程存在：

11、用命令 批量杀掉 相关进程：

12、删除kinsing文件：

13、现在，已经把挖矿程序及相关进程删除掉了，但是还有两处没做处理：

14、 crontab -l 命令先看看crontab的定时任务列表吧：

15、编写删除挖矿程序脚本 kill_kdevtmpfsi.sh ：

16、新增 定时任务 并删除攻击者的挖矿定时任务：

17、 crontab -l命令 查看现在只有杀进程的定时任务了：

18、禁止黑客的IP地址。

最初安装MongoDB时，并未设置密码认证，存在漏洞，导致黑客通过漏洞攻击服务器，并在程序里植入木马/病毒。单纯的kill -9 id杀掉病毒进程是杀不彻底的，治标不治本，应该定时删除病毒进程，禁止攻击者IP，重新安装系统或相关软件。

经过几天的观察，服务器运行正常，再没有被黑客攻击成功。

E. 泰拉瑞亚一键挖矿怎么设置

1.在电脑中启动泰拉瑞亚。
2.进入游戏，装备一把镐子。
3.找到要挖的地方，按Ctrl切换挖矿模式。
《泰拉瑞亚》是由Re-Logic公司开发的一款高自由度的沙盒游戏，于2011年5月16日在PC上发行。
《泰拉瑞亚》Switch中文版于2019年12月19日发售。玩家可以在游戏中做很多事情：制造武器战胜各种各样的敌人及群落；挖掘地下寻找器材配件、金钱和其他有用的东西；收集木材，石材，矿石等资源；用世界里的一切创造你需要的东西并守护它。

F. 妄想山海怎么挖矿最快各类矿山位置汇总

妄想山海怎么挖矿最快各类矿山位置汇总,相信很多小伙伴对这一块不太清楚，接下来小编就为大家介绍一下妄想山海怎么挖矿最快各类矿山位置汇总，有兴趣的小伙伴可以来了解一下哦。
怎么挖矿最快
矿山位置:
白金岩握蠢矿山，赤金矿山，黄金矿山和混合矿山4种分别产出就如名字一样对应着白金矿山产出白金这样。
不过要特别皮埋注意要点开挖矿里对应的天赋才行要不然挖不出来的哦!
白金矿山只分部于南山大陆
赤金矿山只分部于东山大陆
黄金矿山只分部于西山大陆
混合矿山只出现于中山大陆血量较高产出白，黄，赤3种金属
矿山位置都为固定刷新且有较为强大的NPC守护，其中有些矿山还有一种会飞的矿山守卫者伤害极高。
挖矿技巧:
建议在离矿山距离较为安全的地方放置息壤或者篝火在骑飞行坐骑或者道具从天而降进行挖掘，建议使用大锤挖掘(普通挖掘，攻城炮和攻城锤都可破坏矿山)住:矿山不受到挖矿天赋的数量加成，且为建筑结构及破坏支点会破坏上方矿山石无法获得材料。
还有一种方法是一个人拉怪一个人挖取或带上息壤建设一个小房子拉取怪物到一定距离脱战让小房子卡主怪物回去的路线即可。
总结：
矿石是极其重要的材料，可以制作武器，是粗陪前中后期都需要采集的重要资源，找到好的矿石就需要找矿山，位置已经为大家罗列出来了。

G. 能源区块链研究丨比特币挖矿的发展进程

比特币目前还没发展到成长期，但随着比特币挖矿速度开始加快，该行业有望实现大幅增长。

2008年10月，在中本聪发表白皮书详细介绍如何创建新货币体系时，没有人料到在之后不到13年的时间里，比特币的市值能够飙升至8500亿美元。此外，比特币还衍生出了数千种其他类型的加密货币，形成了一整个金融服务行业，并发展成为一种新的资产类别，彻底改变了我们所熟知的货币类型。

我们公司已从事比特币挖矿活动七年了，并推动了该行业的发展和适应。下面我们将介绍一些鲜为人知的比特币挖矿发展过程以及对该行业有重大影响的一些趋势。

比特币挖矿的产生

比特币是一种去中心化货币体系，其作用类似于黄金，是一种拥有价值储藏手段的有限商品。这意味着比特币的供应有限，目前仅存2100万个比特币，这使得其不易受通货膨胀影响。想要使用比特币的人们无需受有权改变其价值或决定用户使用权的政府监督。

那么，比特币本身从何而来呢？与黄金一样，比特币必须经过挖掘才能获得，但不是用镐和铁锹，而是用计算机进行挖掘。

比特币以区块链技术为基础。世界各地的矿工们竞相解一种算法，为的是可以在区块链中添加一个区块。率先解出该算法的人可以获得该区块的交易费用和新币发行的固定奖励（目前是每个区块获得6.25个比特币），而这会增加比特币的流通量。

最初创建比特币时，挖矿非常容易，矿工们在厨房就可利用配备标准中央处理器的笔记本电脑进行挖矿。但随着越来越多矿工的加入，解算法这一竞争愈发激烈，这也意味着矿工们需要更强的数据处理能力和更新的硬件设备。为了有效运行更强大的计算机，电费价格开始受到重视。很快，由于挖矿竞争过于激烈，个体挖矿便不再具有盈利性。

价值数十亿美元行业的诞生

要想盈利，就必须扩大挖矿业务的规模。目前，市场上出现了新的挖矿专用硬件，矿工们也在拖车和仓库中安装了矿机，以便拥有数千台矿机的大型矿场全天候解决算法问题。大规模矿场的运营包括布局和设计、能源、软件管理以及硬件更新，在这些运营需求的推动下，比特币挖矿迅速发展为一个价值数十亿美元的行业。

方舟投资（ARK Invest）的报告显示，支持生态系统的硬件成本约为72亿美元，此外，该报告称，“自比特币专用硬件2013年面世以来，我们认为已有数十亿美元用于设计、生产和流片，这也衍生出了一个专门制造这种强大而又专业硬件的行业。

比特币挖矿虽然操作复杂，但是利润颇丰。方舟投资预计，矿工们可以获得150亿美元的收入，这些收入来自交易费用和比特币固定奖励。

竞争催生新硬件

比特币挖矿的竞争不断加剧，但由于比特币是一种有限商品，所以挖矿的竞争也是有限的。这意味着挖矿运算需要尽可能以高性能保持高速运行，如此才能获得奖励。

由于比特币挖矿日益激烈的竞争提高了对计算能力的要求，所以挖矿竞争也就变成了显卡竞争，而显卡是 游戏 玩家通常在高端 游戏 中才会使用的硬件。后来，专用集成电路逐渐取代了显卡，这是专门用于挖掘加密货币的一种硬件，是比特币挖矿中速度最快、效率最高的硬件，目前仅在挖矿中使用。

但硬件依赖于芯片，虽然目前芯片技术不断加速发展，但芯片还是供不应求。这意味着挖矿运算需要提前规划升级，而且必要的硬件经常售罄，比如比特大陆最近正面临短缺。

新技术最有望实现盈利

同样，比特币挖矿需要跟上技术发展的步伐，能使挖矿硬件更大、更好、更快，因为一旦效率滞后就会造成盈利受损。如今，技术不断超越创新，因此挖矿不仅需要跟上购买新硬件的步伐，还需要迅速安装新硬件。这是因为时间至关重要，即使只延迟几天都会造成严重损失，所以许多挖矿作业（比如我们公司的挖矿）都租用了波音747s以减少运输时间。

西方矿工人数增加

长期以来，全球超过一半的挖矿能源来自中国，主要原因是在中国设立工厂的成本更低，运输速度更快。但随着中国加大对比特币挖矿的打击力度，这些优势正在消亡。据《连线》杂志报道，“比特币挖矿的地理分布可能正在发生变化，”该业务或转向北美、欧洲和拉美等地。矿工们也计划在北欧国家、加拿大和美国等地寻找挖矿地点，这些地方拥有大量廉价的可持续能源，如风能、太阳能和水能等。

比特币的未来

尽管比特币最近出现了许多波动（这并不新鲜），但是比特币的未来是光明的，其价值将继续上涨，并且会吸引新的投资者。随着越来越多的人们开始了解比特币，了解其来源和挖矿方式，人们还将从比特币中发现更多价值。

H. 服务器被rshim挖矿病毒攻击后 HugePages_Total 透明大页怎么都清不掉 一直占用内存 球球

问题定位及解决步骤：

1、free -m 查看内存使用状态 ，发现free基本没了。--> 怀疑是服务有内存泄漏，开始排查

2、使用top命令观察，开启的服务占用内存量并不大，且最终文档在一个值，且服务为java应用，内存并没达到父jvm设置上限。按top监控占用内存排序，加起来也不会超过物理内存总量。查看硬盘使用量，占用20%。基本排除虚拟内存占用过大的原因。--->排除服务内存泄漏因素，怀疑mysql和nginx，开始排查

3、因为top命令看 mysql占用内存也再可控范围，是否存在connection占用过多内存，发现并不会，设置最大连接数为1000，最多也不会超过几M。 nginx占用一直非常小。但每次最先被kill的基本都是nginx进程。所以排查，但发现无非就是openfiles数量啥的调整。发现也一切正常。且之前niginx可以正常使用的。

4、最为费解的就是 通过free -m 查看的时候 基本全是used，cache部分很少，free基本没有。但top上又找不到有哪些进程占用了内存。无解

5、注意到有两个进程虽占用内存不多，但基本耗光了100%的cpu。开始想着占cpu就占了，没占内存，现在是内存不不够导致进程被kill的，就没注意这点。

6、实在搞不定，重启服务器，重启了所有服务，服务暂时可用，回家。在路上的时候发现又崩了。忐忑的睡觉。

7、早上起来继续看，这次留意注意了下那两个占用高cpu的进程，kdevtmpfsi 和 networkservice。本着看看是啥进程的心态，网络了下。真相一目了然，两个挖矿病毒。

突然后知后觉的意识到错误原因：

1、cpu占用率高，正常服务使用cpu频率较高的服务最容易最内存超标。（因为在需要使用cpu时没cpu资源，内存大量占用，服务瞬间崩溃），然后看top发现刚刚已经占用内存的进程已经被kill了，所以没发现内存有高占用的情况。
2、后面的应用继续使用cpu时也会发生类似情况，倒是服务一个一个逐渐被kill。

问题点基本定位好了，解决问题就相对简单很多：
通过网络，google，常见的病毒清除步骤基本都能解决。这两个挖矿病毒很常见，大致记录下要点。可能所有病毒都会有这些基础操作。

① 首先，查看当前系统中的定时任务：crontab -l
我服务器上有四个定时下载任务 通过wget 和 curl 下载病毒文件，把异常的删掉。要不然删了病毒文件还是会下载下来
crontab -r，全部删除命令（或根据需求删除定时任务）

② 查找病毒文件 可以全部模糊搜索 清除， 但病毒文件基本都用了chattr +i命令 使用chattr -i filename 后再使用rm -f filename 。可删除

③ kill 病毒进程，但注意kill了可能马上就重启了。因为有守护进程，需要把病毒进程的守护进程也kill掉

④ 检查是否root用户被攻击，可能系统配置信息被更改。

⑤ 最好能理解病毒脚本，通过看代码看它做了些什么。针对脚本取修复系统。

I. top cpu飙高,中了挖矿程序----解决方法

1.发现cpu异常,查看对应的进程信息

2.查看进程发现是挖矿进程在执行

3.确定是挖矿病毒,查看进程的执行文件链接到哪里,发现是jenkins的工作目录,最后结果发现是jenkins的漏洞导致自动创建CI计划,进行启动挖矿脚本

4.查看虚机密码是否被破解登录

5.查找挖矿文件

6.检查定时任务脚本

jenkins CVE-2018-1999002 漏洞修复: https://paper.seebug.org/648/
jenkings漏洞利用: https://xz.aliyun.com/t/4756
CI安全隐患: https://www.jianshu.com/p/8939aaec5f25
jenkins漏洞描述地址: https://www.cyberark.com/threat-research-blog/tripping-the-jenkins-main-security-circuit-breaker-an-inside-look-at-two-jenkins-security-vulnerabilities/