文章大纲：

• 1、为什么黑客们要广设服务器，用别人的手机设备去挖矿？
• 2、网站木马病毒入侵挂马，被注入script和eval代码，主机虚拟空间还是程序漏洞？具体如何解决？
• 3、手机被植入挖矿代码怎么办，访问不良网站后手机变卡？
• 4、什么是脚本挖矿
• 5、求助服务器被挖矿程序入侵，如何排查

为什么黑客们要广设服务器，用别人的手机设备去挖矿？

因为用别人的手机会更加安全一点，这样公安局或者安全局就不容易找到黑客的地址了。

“偷矿”是指未经你同意的情况下，黑客利用你的系统资源挖掘虚拟货币。这主要借助于网站的 JavaScript 代码，黑客在代码中注入“偷矿”程序，当你访问这些代码时，“偷矿”程序便会偷偷自动运行。

虽然黑客能够主动入侵网站来运行挖矿脚本，但需要注意的是，那些使用了类似 Coinhive.com 这种插件服务的网站无意中也会给黑客提供更多的可乘之机。

简而言之，你访问的网站都有可能利用你的设备来“偷矿”。

如果你发现自己的智能手机或者笔记本电脑突然发烫或者 CPU 使用率极高，但是你并未运行太多的应用程序，那么你的设备很可能被黑客“劫持”了，他们正在利用你的设备“偷矿”。

你可以使用设备访问检测网站（例如 Piratebay）来确认其安全性。

不管你的设备是否被黑客利用了，未雨绸缪总是没错的。以下建议可以助你防患于未然：

1. 使用 Opera 浏览器

虽然 Chrome 是最常用的浏览器，但是 Opera 浏览器提供了一些 Chrome 没有的有趣功能。最新版本的 Opera 浏览器能够自动拦截广告，此外，它还内置了阻止挖矿的防护功能。这一功能可以阻止网站擅自运行非法挖矿的脚本，这与网页上的广告拦截技术并没有太大区别。

2.使用清理程序

如果采用了上面的措施之后你仍然放心不下，那么可以在电脑和智能手机上安装 Malwarebytes 清理程序，它的电脑版是完全免费的，但是针对手机的高级版是收费的。随着现在越来越多的区块链项目开始采用手机挖矿，如果你不想让自己的手机有被当作肉鸡的风险，适当花点小钱也是值得的。

你仍然可以继续使用像卡巴斯基这样的防病毒软件来保护自己的智能手机。

网站木马病毒入侵挂马，被注入script和eval代码，主机虚拟空间还是程序漏洞？具体如何解决？

一般都是网站程序存在漏洞或者服务器存在漏洞而被攻击了

网站挂马是每个网站最头痛的问题，解决办法：1.在程序中很容易找到挂马的代码，直接删除，或则将你没有传服务器的源程序覆盖一次但反反复复被挂就得深入解决掉此问题了。但这不是更好的解决办法。更好的 *** 还是找专业做安全的来帮你解决掉

听朋友说 SineSafe 不错 你可以去看看。

清马+修补漏洞=彻底解决

所谓的挂马，就是黑客通过各种手段，包括SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day, 等各种 *** 获得网站管理员账号，然后登陆网站后台，通过数据库 备份/恢复 或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时，你就会自动的访问被转向的地址或者下载木马病毒

清马

1、找挂马的标签，比如有script language="javascript" src="网马地址"/script或iframe width=420 height=330 frameborder=0

scrolling=auto src=网马地址/iframe，或者是你用360或病杀毒软件拦截了网马网址。SQL数据库被挂马，一般是 *** 挂马。

2、找到了恶意代码后，接下来就是清马，如果是网页被挂马，可以用手动清，也可以用批量清，网页清马比较简单，这里就不详细讲，现在着重讲一下SQL数据库清马，用这一句语句“update 表名 set 字段名=replace(字段名,'aaa','')”， 解释一下这一句子的意思：把字段名里的内容包含aaa的替换成空，这样子就可以一个表一个表的批量删除网马。

在你的网站程序或数据库没有备份情况下，可以实行以上两步骤进行清马，如果你的网站程序有备份的话，直接覆盖原来的文件即可。

修补漏洞（修补网站漏洞也就是做一下网站安全。）

1、修改网站后台的用户名和密码及后台的默认路径。

2、更改数据库名,如果是ACCESS数据库，那文件的扩展名更好不要用mdb，改成ASP的，文件名也可以多几个特殊符号。

3、接着检查一下网站有没有注入漏洞或跨站漏洞，如果有的话就相当打上防注入或防跨站补丁。

4、检查一下网站的上传文件，常见了有欺骗上传漏洞，就对相应的代码进行过滤。

5、尽可能不要暴露网站的后台地址，以免被社会工程学猜解出管理用户和密码。

6、写入一些防挂马代码，让框架代码等挂马无效。

7、禁用FSO权限也是一种比较绝的 *** 。

8、修改网站部分文件夹的读写权限。

9、如果你是自己的服务器，那就不仅要对你的网站程序做一下安全了，而且要对你的服务器做一下安全也是很有必要了！

手机被植入挖矿代码怎么办，访问不良网站后手机变卡？

清除手机数据，如果有重要的东西先保存在网盘上，然后再恢复出厂设置三次，这样比较安全，

什么是脚本挖矿

比特币的核心原理是“区块链”，每一个区块对应一个帐单，将所有的区块链接起来就是区块链，任何交易信息和转账记录都记录在区块链中。要注意的是区块链存在于整个互联网中，所以任何比特币持有者都不担心比特币遭受损失。

每隔一个时间点，比特币系统会在系统节点上生成一个随机代码，互联网中的所有计算机都可以去寻找此代码，谁找到此代码，就会产生一个区块，随即得到一个比特币，这个过程就是人们常说的挖矿。

比特币挖矿。

就是用于赚取比特币的电脑，这类电脑一般有专业的挖矿芯片，多采用烧显卡的方式工作，耗电量较大。用户用个人计算机下载软件然后运行特定算法，与远方服务器通讯后可得到相应比特币，是获取比特币的方式之一。

据最新的外媒报道，随着数字货币呈现不断上涨的趋势，为了获取更多的数字货币。黑客入侵网站植入挖矿脚本后利用用户的CPU挖掘数字货币的做法越来越流行。其相关数据统计，目前已有2,496家运行过时软件的网站遭到黑客植入恶意代码，并利用访问者CPU挖掘。非法植入恶意挖矿脚本已成为了黑产的常见途径。

求助服务器被挖矿程序入侵，如何排查

 新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接

服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般

会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这

就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客

户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

SSH远程登录客户的Linux服务器，查看当前的进程发现有一个特别的进程占用了百分之100

的CPU，而且会持续不断的占用，我们查了查该进程，发现不是linux的系统进程，我们对进程

的目录进行查看，发现该进程是一个木马进程，再仔细进行安全分析，才确定是目前最新的挖

矿木马病毒，挖的矿分很多种，什么比特币，什么罗门币的，太多太多，看来现在的挖矿技术

扩展到了入侵服务器进行肉鸡挖矿了。

挖矿木马的检测与清除

我们在系统的目录下发现了挖矿木马主要是以 Q99.sh命名的文件来控制客户的linux服务器，看

里面写的代码是以root权限运行，并自动启动计划任务，当服务器重启时继续执行计划任务，

导致客户怎么重启都于事无补，还是卡的要命。该木马代码还调用了一些Linux系统命令，bashe

bashd来挖矿，该命令是最直接也是占用CPU到顶峰的关键，太粗鲁了，这样的挖矿本身就会让

客户发现问题，看来挖矿者只顾着赚钱，不考虑长久之道了。

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，

仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查

当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病

毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，

客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击

状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开

发架构是 *** P+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重

的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，

SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器

一切稳定运行，网站打开正常。