一、挖矿特点分析。

当服务器或个人电脑处于什么状态时，我们可以判断它是挖矿的。一般来说，当我们的服务器或个人电脑资源(中央处理器)使用率接近或超过100%时，服务器或个人电脑的运行延迟，我们可以判断它是否被挖矿。常见挖矿的其他特点如下:服务器或个人电脑访问不可信的地址，包括主机、知识产权和域名。这是因为大多数矿业需要从不可信的地址下载初始程序，而不可信的来源主要是第三方信息结构和企业内部历史数据沉淀。

服务器或个人电脑添加异常或恶意文件、过程或服务，大多数异常文件保存在服务器或个人电脑的TMP目录中。服务器或器或PC的定时任务。

二、挖矿应急响应程序。

PS:在处理挖矿的整个应急响应过程中，要严格执行记录和备份。包括记录和备份分析过程中的命令和分析文件。这是一个最简单的过程，通常对小B来说，完整的过程包括：2.1确认报警是否属于挖矿。一般情况下，我们都是通过报警到服务器或PC被挖矿。此时我们首先要判断报警是否属于误报，如果没有误报则需要确认报警是否真的属于恶意挖矿，如果没有必要丢失到其他应急响应过程中，如果属于挖矿则需要进行后续处理。以下是一些常见的确认挖矿方法:

Windows确认挖矿。采用图形界面分析确认。打开任务管理器：Ctrl+Alt+Delete快捷键或win+r快捷键，输入taskmgr；B.在任务管理器中找到资源管理器；C.通过资源管理器找到占用CPU资源较高的服务或过程，获取其PID信息；D.使用获得的PID信息在任务管理器的详细信息栏中找到相应的程序，右键打开文件位置，获得异常文件目录；E.进入异常文件目录，分析文件，确认是否属于采矿程序；使用命令分析确认:打开终端或powershell:win+r快捷键并输入cmd。#获取所有过程细节，并将结果输出到tmp.txt文件。wmicprocessgetcaption,commandline/value>>tmp.txt。获取单个过程的详细信息。wmicprocesswherecaption=svchost.exegetcaption,commandline/value。#获取子过程的父过程信息。wmicprocesswhereName="svchost.exe"getParentProcessID。用第三方工具分析确认：各有千秋，大家自己选择。ProcessMonitor：不需要安装。ProcessHacker：不需要安装。火绒:需要安装，界面更友好(个人意见)

Linux确认挖矿。A.使用top命令查看系统性能，找到高消耗资源的过程PID；B.根据获得的PID信息，使用ps-ef-pPID命令查找系统过程的详细信息；C.根据流程的详细信息定位到文件位置，进入文件位置进行文件分析，确认是否属于采矿程序。#除了top，还有很多好用的Linux命令。uptime#查看机器负载。每秒输出一次vmstat1#系统核心指标。mpstat-PALL1#每秒显示所有CPU的使用情况。Pidstat1#每秒输出一输出一次。iostat-xz1#每秒输出一#磁盘IO。#使用ps时，请注意ps的参数。

确认挖矿后的清理工作。当我们通过确认服务器或个人电脑属于挖矿时，我们需要进行清理工作。当然，不同的应急响应人员在执行2.2和2.3步骤时可能会有不同的顺序。在小B看来没什么区别。如果先分析再删除，更容易追溯到被攻击的环境；但是，如果在整个过程中做好完整的备份和记录，先删除再分析也可以。以下是一些常见的清理挖矿方法:Windows清理挖矿。我确认挖矿程序后，首先备份挖矿程序。接着，先关闭相应的服务和流程，然后删除相应的定时任务，最后删除相应的文件。删除文件后，反向定时任务、过程和服务，最好在间隔一定时间后再次查看。图形界面通常用于Windows进行操作，所以不要胡说八道。

Linux清理挖矿。Linux确认挖矿后，还需要备份挖矿程序，然后执行响应操作。停用：systemctlstop*.service；杀死过程：kill9PID，很多时候不仅仅是杀戮过程；删除文件:rm-frabnormal_file，删除文件时可以使用find/-nameabnormal_file查找系统中的所有恶意文件；清除定时任务：crontab-e；和Windows一样，删除完成后，需要反向操作，间隔一定时间后再检查是否清理干净。