网站中了挖矿木马怎么办

　　自从比特币价格飞涨之后，挖矿木马的数量也就开始增多，挖矿木马的感染性极强，能穿透内网，自动尝试攻击服务器以及其他网站，因此如果发现中了挖矿木马，就要及时处理，以免遭受损失。那么网站中了挖矿木马怎么办?我们一起来了解下吧。

网站中了挖矿木马怎么办

　　首先，下载服务器安全狗和网站安全狗，对服务器和网站代码进行全盘扫描和查杀，目前已知的挖矿木马安全狗的病毒库都有录入，只要使用安全狗就能清除挖矿木马。

　　服务器安全狗下载地址：http://free.safedog.cn/server_safedog.html

　　网站安全狗下载地址：http://free.safedog.cn/website_safedog.html

　　网站中了挖矿木马怎么办?如果您不想下载安全狗，也可以尝试下面的步骤进行清除：

　　1、关闭访问挖矿服务器的访问：

　　iptables -A INPUT -s xmr.crypto-pool.fr -j DROP 和 iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

　　2、找到minerd程序：

　　find / -name minerd*

　　发现程序在/opt下面，同时发现另外的一个异常文件

　　KHK75NEOiq33和minerd

　　3、去掉执行权限

　　chmod -x KHK75NEOiq33 minerd

　　4、杀掉进程，kill或pkill随你喜欢

　　pkill minerd

　　pkill AnXqV

　　5、清除定时任务：

　　systemctl stop crond

　　我们的系统因为没有其他定时任务，所以可以直接这样，如果有需要自己手动备份自己的定时任务，然后清理掉其他的定时任务，情景分析后处理

　　6、清除文件

　　除了opt下面的两个异常文件需要清除，/tmp文件夹下也有文件需要清除，Aegis- AnXqV ddg.217 ddg.218 ddg.219 duckduckgo.12.log duckduckgo.17.log duckduckgo.18.logduckduckgo.19.log

　　这里的文件有个duckduckgo的，大约是翻墙用的搜索对应的进程有ddg.217/218/219

　　7、清除未知的授权

　　进入 ~/.ssh/目录，发现多个异常文件，包括authorized_keys、known_hosts等，需要移除authorized_keys中的未知授权，这里可以看到有REDIS000…的授权key，我们自己没有设置过，所以直接删除之

　　8、元凶分析

　　有说是redis低版本存在的一个漏洞，有人利用这个漏洞提升权限，然后放置了挖矿工具，所以就将默认的端口改了，密码改了，重新启动了服务，基本上能过一段时间了。

　　关于网站中了挖矿木马怎么办就为大家介绍到这里，上面是一次清理挖矿木马病毒的过程，每个人中的挖矿病毒可能有所差异，但是整体的步骤不会相差太多，可以先进行尝试。如果无法彻底清理，也可以向安全狗寻求技术支持，我们会安排专业的安全技术团队为您解决。