云服务器中挖矿病毒的清除过程（二）

发现一台服务器，CPU使用率一直50%左右，top查看一进程名称为
-bash，按c查看详情，名称显示为python
十分可疑
杀掉进程，清空crontab内容，并删除此目录文件，发现过一阵进程又被启动起来了
查看/etc/cronhourly，发现有一个sync文件，还是会定时执行，内容为

此文件还被加了保护权限，需要用chattr去除后删除

crondaily cronweekly cronmonthly里面也有
同样方法删除/bin/sysdrr
至此病毒被彻底清除

删除/opt/new目录时，发现此目录下还有一个/opt/md目录，内容如下
病毒运行原理是

其他常用的诊断命令

关联文章：
云服务器中挖矿病毒的清除过程
服务器中毒导致的wget等系统命令失效后的恢复

参考文章：
PC样本分析记录最近与挖矿病毒的斗智斗勇
PC样本分析记录最近与挖矿病毒的斗智斗勇(二)

服务器CPU使用率50%，被两个进程占用，名称分别为
-mysql
zfsutils-md5sum

使用crontab -l查看定时任务，发现病毒文件-mysql

查看这个/var/log/目录，发现更多病毒文件，-mysql是个脚本，内容如下

查看/etc/crontabdaily目录，发现一个文件名为ntpdate

/bin/sysprg创建日期与ntupdate是同一天，文件大小与x86_64相同，无疑也是个病毒文件。

进入到/var/spool/cron目录查看文件权限，发现被加了保护，使用lsattr去除，再编辑删除内容即可

禁用crontab

云服务器中挖矿病毒的清除过程（一）
云服务器中挖矿病毒的清除过程（二）

三天以前看到壮乡金荣仔的文章，从中了解到可以利用阿里云服务器进行挖矿，收益可观，于是立即和作者进行了联系，咨询拜师的事情。

通过和孙师傅交流发现，因为写作让我们有了很多共同交流的基础，并且我居然已经关注了孙师傅有好几个月的时间了，这让我们很快建立了信任。

孙师傅在文章中提到正式收徒弟还要等一段时间，我觉得这段时间也不能浪费，还应该为将来拜师以后做一点准备工作。于是我立即开始对云服务挖矿这件事情进行了认真的思考并实践。

云服务挖矿的可行性，大概有这么几个方面。

一，云服务器挖矿的成本收益分析。

成本构成：挖矿的成本主要有三项，矿机的支出，电费，场地及相关管理费用；

收益构成：挖矿的收益主要来自两个方面，一是按照当前数字货币的法币价格可以不管成本而获得的收益，二是数字货币在未来增值获得的收益。

分析：云服务器的运算能力远远低于实体矿机，但是不用支付电费，这是最大的成本节省，另外，由于不需要场地，自己远程管理，场地和管理费用也趋近于零。

因此在算力有限的情况下，云服务器挖矿最大限度地消除了电费和场地的费用，这是这项技术的优势所在。而盈利的平衡点，将极大的取决于服务器费用的支出和当前币价的相对关系。

二，云服务器和挖矿币种的分析。

云服务器的种类有很多，主要分两种，CPU型和GPU型。

目前市场上的各种虚拟币算法也分两类，GPU友好型和CPU有好型。比特币以太坊，莱特币等绝大多数币种都属于GPU友好型，CPU友好型比较少，我了解到的只有大零币zec,小零币xzc,门罗币xmr。

所以这样一来，在服务器和币种的选择问题上，方向很清晰：CPU和GPU任何一个方向，选择算力性价比最高的云服务器和挖矿收益最高的币种。

三，实践。

李笑来的文章中提到过，任何挖矿的行为都不如直接到市场上去买来得容易。我也因此在之前的虚拟货币的学习中，很少关注挖矿的知识。同时对于服务器方面的知识也了解很少，所以一开始我只能用网络上能够搜索得到的办法进行实践， 以快速入门，开始积累。

网上能够直接搜索到的就是利用CPU服务器挖掘门罗币。文章链接如下。

于是我花了3915元购买了三个月的阿里云轻量型服务器，配置如下。阿里云目前在搞活动，首单可以打七折。

开始进行实践。

经过了两天的折腾，终于在运行服务器上挖矿成功，但是算力只有140h/s，在这个算力下，要亏本一半。

具体折腾的过程中，遇到坑无数，也麻烦了我搞计算机的朋友很多，这个过程留待下一篇再写吧。

四，关于风险的思考。

目前来看，用云服务器挖矿服务器的价格是预付的，并且是固定的，所以挖矿是否有收益，取决于目前的虚拟货币的价格。从孙师傅的截图来看，目前收益还是很可观的。

近期的风险来自于币价的下跌，远期的风险来看，就是阿里云服务器会禁止挖矿行为。阿里云对于挖矿的行为，在网上有过很多的声明。在搜索服务器挖矿相关知识的时候，也发现有国外的服务器禁止挖矿。

长期来看，如果目前云服务器挖矿不赔本那么未来大概率是会有很大的收益的。
就在写这一篇的过程中，孙师傅的收徒标也发出来了，很快就要收徒弟啦。我也正好把这一篇当做我第一这周的作业。

我的答案 能够解决您的烦忧
杀毒啊，这个东西本身带毒是肯定的，按我说的彻底杀毒别用了
下载腾讯电脑管家“85”最新版，对电脑首先进行一个体检，打开所有防火墙避免系统其余文件被感染。
打开杀毒页面开始查杀，切记要打开小红伞引擎。
如果普通查杀不能解决问题，您可以打开腾讯电脑管家---工具箱---顽固木马专杀- 进行深度

原因分析：

综合互联网上的资料，绝大部分是以下三种原因：

该问题的原因之一：guiminer程序不完整，请重新下载绿色纯净版。

该问题的原因之二：您的计算机的Windows Installer服务没有开启。

其解决方法是打开控制面板→管理→服务，将Windows Installer服务开启，并设为自动，再重启电脑。

该问题的原因之三：您的计算机上没有安装Visual Studio的运行库。

该应用程序是Visual Studio 2005及其以上版本开发的，其依赖于相应的运行库，而您的电脑上没有安装该运行库。（对于VC6或VS2003开发的应用程序，如果缺少库文件，是会提示缺少“dll”，但VS2005或VS2008的却只提示“由于应用程序配置不正确”。）

其解决方法不是重装应用程序，更不是重装系统，而是安装相应的运行库（Microsoft Visual C++ 20 Redistributable Package，即vcredist_x86exe。

★区分您的程序是VS的哪个版本开发的确实有点困难，甚至有些软件是多个版本开发的，那就多种vcredist_x86exe都装上，它们互相兼容，就能解决您计算机上大多数软件的同类问题了。（2005和2008的都装上后“添加/删除程序”会显示如图5）。

★以下以“20”代表“2005”或“2008”或“2009”或“2010”。

所需安装包

仅需一个文件——微软官网下载中心下载的vcredist_x86exe

步骤

打开控制面板→管理工具→服务，如果Windows Installer服务没有开启，则设其为自动，再重启电

脑。如果没有解决问题则继续。

可以初步判断您的程序是VS的哪个版本开发的。

（打开应用程序所在目录，搜索是否有mfc或msvc开头的文件，如果有，请查看其文件版本可知VC的版本。请看下图，8表示VC80开发的，9表示VC90开发的）

VS2003的VC版本是VC1，

VS2005的VC版本是vc80，

VS2008的VC版本是vC90。

在控制面板的“添加/删除程序”查看本机是否安装了Microsoft Visual C++ 20 Redistributable Package。

如果没有上图中的Microsoft Visual C++ 20 Redistributable，则继续。

从微软下载中心下载Microsoft Visual C++ 20 Redistributable Package。该文件有32位的（X86），也有64位的（X64）。下载地址如下。

双击运行刚才下载到的vcredist_x86exe，其会自动安装Microsoft Visual C++ 20 Redistributable Package

检查“添加/删除程序”里是否有了该项

如果有该项，则说明安装成功。然后开启你的应用程序，如果没有报错，则说明问题解决。

---