挖矿病毒流量特征

A. 挖矿病毒分析（centos7）

rm -rf /root/.ssh/*
如果有配置过密钥认证，需要删除指定的黑客创建的认证文件即可。
ls /proc/10341 查看进程文件

该脚本执行了 /xm 脚本，并且总是会重启服务。如果此程序不进行清除，即使杀死了对应的进程，过一会还是会执行重新创建，又导致服务器异常。

因此，先停止启动脚本配置项：

systemctl disable name.service
删除脚本：

rm -rf /etc/systemd/system/xm.service

5,启动脚本删除完后，删除相应的程序
ps -ef|grep xmrig
ps -ef|grep javs

kill 9 pid

ls /proc/10341

B. win32.troj.ethashminer.a.是什么病毒

因为使用某国产播放器（看看影音）后，感染了“挖矿病毒"—Win32.Troj.EthashMiner.a，病毒的表现如下：
1、发现电脑中C盘可使用空间骤降，且在C盘Ethash文件夹内，发现存在大量的1G左右的垃圾文件。
2、电脑闲置状态时，风扇转速增快，电脑发热增加，GPU使用率达到100%。非闲置状态时，恢复正常。

用常用的杀毒或者安全软件最新版本即可查杀。

C. 挖矿会被电信公司发现

不确定，中国电信江苏分公司校园门户网站(pre.f-young.cn)提供下载的“天翼校园客户端”被植入后门病毒，该病毒可接受黑客远程指令，利用中毒电脑刷广告流量，同时也会释放“门罗币”挖矿者病毒进行挖矿。用户在安装“天翼校园客户端”之后，就会在安装目录中自动释放speedtest.dll文件，也就是病毒的本体，所有执行下载、释放其他病毒模块等操作都由这个文件进行。广告刷量模块被执行后，它会创建一个隐藏的IE窗口，然后开始读取云端指令，在后台模拟用户操作鼠标、键盘点击刷广告。为了让用户不察觉这一情况，还屏蔽了声卡播放广告页面中的声音。
另外的病毒挖矿模块，在分析之后发现所挖的是“门罗币”，这是一种类似于“比特币”的数字虚拟货币，每杖价格约500元。当病毒模块开始“挖矿”时，计算机CPU资源占用量明显飙升，导致电脑性能变差，发热量上升，同时电脑风扇也会高速运行，电脑噪音也会随之增加。最后还发现，一款签名为“中国电信股份有限公司”农历日历(Chinese Calendar)同样存在该后门病毒。一般来说，像电信这样大型企业公司的签名应该不会存在什么问题，这次被植入病毒确实让人觉得有些奇怪，但究竟是怎么被植入的，目前还没有结果。
比特币介绍：
一、比特币的发行和交易的完成是通过挖矿来实现的，它以一个确定的但不断减慢的速率被铸造出来。每一个新区块都伴随着一定数量从无到有的全新比特币。境外很多人以挖矿为生，但是在境内是不允许的，目前有关部门对此内容采取严打态势。在家里利用电脑挖矿，如果没有大量用电的情况下，一般不会被供电局调查；如果耗电比较严重，又或者是有偷电行为，就有可能被供电局调查。到时候就不仅仅是被罚款那么简单了，还有可能承担刑事责任。
二、工业互联网平台和智能设备成为网络威胁的重要目标。据国家工业信息安全发展研究中心监测，第二季度我国境内共有22个工业互联网平台提供服务，针对这些工业互联网平台的、来源于境外的网络攻击事件共有656起，涉及北京、重庆、湖南、内蒙古等地区；新增工业控制系统漏洞115个，涉及罗克韦尔、西门子、施耐德电气等品牌的71款产品；我国境内感染工业互联网智能设备恶意程序的受控IP地址共有52.7万余个，受控IP地址数量在1万个以上的僵尸网络共有13个。

D. 办公网线为什么被监测到挖矿

一种常用的技术手段。
中挖矿病毒有以下几种显著的表现：1、电脑异常运行缓慢。
2、电脑异常死机/卡机。
3、什么都没打开但是cpu占用率非常高。
4、网络缓慢，出现大量网络请求。
挖矿都是烧的显卡，以下方法可以鉴定自己显卡是不是矿卡：通过肉眼来识别这个硬件究竟是不是矿卡，其实通过其他方式也可以测出，就比如说你到电脑里面去测矿卡的超频性能，去跟官方的数据进行对比，测矿卡供电的稳定性，也可以测出来是不是矿。

E. 挖矿木马是什么

就是你电脑后台自行消耗显卡与CPU资源的木马病毒，这种木马是看你电脑配置很高，后台自行挖矿，你一般看不出来，但是你显卡或CPU占用很高的。

F. 怎么查看电脑有没有挖矿病毒

中挖矿病毒有以下几种显著的表现：
1.电脑异常运行缓慢
2.电脑异常死机/卡机
3.什么都没打开但是cpu占用率非常高
4.网络缓慢，出现大量网络请求

G. 这7个迹象出现，说明手机上可能有恶意软件

转自HackRead，作者 Uzair Amir，蓝色摩卡译，合作站点转载请注明原文译者和出处为超级盾！

恶意软件和间谍软件是两个最常与台式电脑有关的安全问题。虽然电脑确实容易感染恶意软件，但不要忽视移动设备也会受到感染的事实。 当智能手机感染了恶意软件，它会导致几个问题，包括黑客会窃取用户的信息。

智能手机用户必须意识到许多安全威胁，包括最近黑客实施的生物信息劫持（指纹等个人信息）。当手机感染病毒时，如果没有检测到， 会导致几个问题，包括勒索软件、密码盗窃和机密数据窃取。

此外，还有可能导致智能手机物理功能问题的恶意软件。 这里有7个迹象表明你的智能手机被恶意软件感染了:

要想知道我的手机是否感染了病毒， 首先要注意的是数据使用量的突然增加 。尽管智能手机上的一些应用程序和 游戏 可能会有大量数据。

但当没有明显原因的数据使用量突然增加时，这可能是手机感染了病毒的迹象 ，尤其是像ADB这样的恶意软件。Miner（挖矿病毒）以在Android手机和智能电视上挖掘Monero硬币而闻名。

iOS和Android都在设置应用程序中提供了一个部分，允许智能手机用户了解他们的设备上使用了多少数据。 Android设备也将能够提供一个图表，显示特定时间段内的数据使用情况——这使得检测突然增长变得很容易。

Android:

iPhone:

要打开或关闭蜂窝数据，请进入“设置”，然后点击“蜂窝数据”或“移动数据”。 如果你使用iPad，你可能会看到设置>蜂窝数据。 如果你使用的是双卡iPhone ，你需要将你的一个套餐设置为主数据号 ，以便查看你使用了多少手机数据。

另一个可能预示智能手机感染的常见信号是电池突然开始以比平时更快的速度耗尽。 虽然这有时可能是电池损坏的迹象，但也有多种病毒可能导致智能手机电池迅速耗尽 。

因此，如果在学习如何检查手机是否有病毒时出现了这个问题， 那么在花钱更换电池之前，应该先扫描手机是否有病毒感染。 在2019年2月，研究人员揭露了一场主要的安卓广告诈骗活动，名为“排放机器人”(DrainerBot)，它会消耗电池和窃取设备的数据。

市场上一些最新的智能手机往往配备了强大的处理器和足够的内存，以便轻松处理应用程序和 游戏 中使用的最新技术。 当这种智能手机突然开始缺乏性能时（比方变卡），这也可能是该设备感染了病毒的迹象。

有时只有在进入需要强大的CPU和GPU的 游戏 时，才会注意到糟糕的性能。在其他情况下， 病毒也可能导致移动设备的总体性能下降——即使是在执行简单的任务时，比如打电话或读短信变卡或无法正常运行 。

除了发现这款智能手机在性能方面存在不足外，还有一个迹象表明它感染 HiddenMiner之类的恶意软件，那就是过热了 。这在大多数智能手机中并不常见;因此，当出现过热问题时，病毒扫描可以帮助检查手机上的恶意软件。

感染智能手机的病毒有时会导致不熟悉的应用程序自动安装。 因此，当应用程序在用户不知情的情况下出现在手机上时，这可能是设备感染病毒的又一个迹象。

每个不熟悉的应用程序都应该有一个概述，这通常是来自写作服务。所以安装某些程序之前，最好看看过去使用过该应用程序的评论者很重要。 当应用程序看起来可疑时，不仅要删除它，还应该彻底扫描设备，以寻找可能的病毒残留痕迹。

如果你想知道我的手机是否感染了恶意软件，你应该警惕自己的移动数据和Wi-Fi开关。 由于病毒通常会通过互联网发送和接收数据，在用户禁用移动数据或Wi-Fi连接后，感染可能会导致数据被打开。

另一个恼人的、但却是移动设备上病毒的明显标志就是弹出式广告。 这些广告通常会在用户离开应用程序并停留在手机主页上之后才出现。 弹出式广告有时会显示不合适的广告，或将用户带到智能手机应用商店的移动应用程序。

恶意软件可以影响台式电脑和移动设备。 当智能手机受到影响时，它会导致个人数据泄露给黑客。

在这些情况下，会出现几个问题，包括可能存储在智能手机上的信用卡信息 。那些怀疑自己可能被感染的人应该学习如何发现自己的手机是否有病毒。 这可以帮助他们采取行动，以消除病毒和保护他们的敏感数据。

精彩在后面

Hi，我是超级盾

更多干货，可移步到，微信公众号：超级盾订阅号！精彩与您不见不散！

超级盾能做到：防得住、用得起、接得快、玩得好、看得见、双向数据加密！

截至到目前，超级盾 成功抵御史上最大2.47T黑客DDoS攻击，超级盾具有无限防御DDoS、100%防CC的优势

H. 手机中病毒的几种表现

1.手机异常卡顿
在网络正常的情况下，手机突然变得非常卡，运行速度明显比往常慢得多，打开个页面总是要等待很久，甚至需要反复刷新几次才会跳转出来。查看手机后台数据，发现存储空间明显减小，这可能是手机病毒的运行在消耗大量存储空间。

2.莫名扣费
不知道大家有没有留意过自己的手机扣费情况，当手机出现莫名扣费，几天内的费用是正常费用的好几倍，可能是病毒在搞鬼。这有两种可能，一种是恶意扣费病毒，你不小心点到某个链接就自动扣费了，还有一种可能是病毒在后台运行，消耗大量流量，导致费用增加。

3.耗电速度加快
在同样的使用频率下，手机耗电速度比往常更快，比如以前充满电可以持续使用一整天，但是最近只能维持半天使用，手机可能已经有病毒，手机病毒正在进行暗箱操作，导致电池损耗加快。

4.通话莫名中断
跟别人在手机通话中经常出现莫名中断的情况，我们首先排查是不是手机信号和运营商的问题，如果之后还是反复中断，很可能是手机里有了病毒，它会对通话质量造成不良影响。

5.手机出现莫名软件
手机桌面突然出现一些来历不明、听都没听过的软件，还时不时弹出各种乱七八糟的广告，这很可能是手机在浏览非正规网站时，连带自动下载了一波垃圾软件，这些垃圾软件往往携带病毒。

6.手机自动关机重启
如果你正在玩着手机游戏或者正在聊天，手机突然就黑屏自动关机了。有时候玩着玩着，手机却自动重启了，如果这些情况经常发生，说明手机已经感染上病毒了。

7.手机发热异常
恶意病毒会给手机性能带来更大的负担，如果手机在低速运行或不使用情况下，手机发热严重，摸起来发烫，它很可能已经感染了病毒。

8.手机经常弹出广告
登陆浏览器时，手机经常弹出广告，或者经常收到一些附带链接的广告短信，手机感染病毒的可能性就很大了。
如果你的手机出现以上症状，很可能是手机中病毒了，想进一步确认是否中毒，可以使用第三方杀毒软件检测一下。

I. 中挖矿病毒的表现

故障现象：使用过程中，发现经常有服务无故关闭，登录服务器经检查，发现CPU使用率达到100%。在检测异常进程中，未发现CPU使用率异常的进程（使用 top、htop 以及 ps -aux 进行检查），于是报障。

检测过程：

1.找到他shell脚本对应目录把目录或者文件删除。

2.检查定时任务是否存在挖矿木马文件在定时任务中，避免定时运行挖矿木马文件。

3.添加hosts挖矿病毒访问对应网站，避免二次访问并下载。

4.排查liunx命令是否损坏，如损坏下载"procps-3.2.8"并编译，恢复top等系列命令。

5.检测进程是否异常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的网站程序是否存在漏洞，并排查下nginx或者apache日志审查漏洞所在处。

7.排查ssh登录日志。

8.把ssh登录切换成秘钥登录。

9.重启服务器，检查是否进程是否正常。