Windows服务器挖矿木马自助清理手册

请根据实际环境调整操作命令，操作前务必创建系统快照备份！！！

适用系统：Windows Server 2008 R2及以上版本

一、什么是挖矿木马？

挖矿木马会占用CPU进行超频运算，从而占用主机大量的CPU资源，严重影响云服务器CVM_云主机_云计算服务器_弹性云服务器-腾讯云上的其他应用的正常运行。黑客为了得到更多的算力资源，一般都会对全网进行无差别扫描，同时利用SSH爆破和漏洞利用等手段攻击主机。部分挖矿木马还具备蠕虫化的特点，在主机被成功入侵之后，挖矿木马还会向内网渗透，并在被入侵的服务器上持久化驻留以获取最大收益。整体的攻击流程大致如下图所示：

二、挖矿木马特征识别

挖矿木马会劫持服务器CPU/GPU资源进行加密货币挖矿，表现为：

1. CPU/GPU异常高负载

∙ 任务管理器（Ctrl+Shift+Esc）中持续出现未知进程占用90%以上CPU（或通过腾讯云控制台监控查看）。

∙ 服务器响应缓慢，负载长期较高。

2. 异常网络连接

说明：在Windows系统中打开PowerShell窗口的常用方法包括：通过开始菜单搜索、运行对话框（Win+R）输入powershell，或右键开始菜单选择“Windows PowerShell”。

执行：PowerShell

∙ 通过 netstat -ano | findstr "ESTABLISHED" 检查可疑外连（如矿池地址：xmrpool.eu、minexmr.com等）。

3.可疑进程行为

通过任务管理器，查看可疑进程，重点查看对象：

∙ 进程名伪装为svchost.exe、rundll32.exe或其他随机字符串。

∙ 大量消耗内存且无对应服务。

三、紧急处置步骤

1. 隔离服务器

腾讯云控制台操作：进入云服务器控制台 → 选择受影响实例 → 配置安全组：

∙ 禁用所有入站/出站规则（临时策略）。

∙ 保留必要管理端口（如RDP）的IP白名单。

2. 阻断恶意网络通信

说明：在Windows系统中打开PowerShell窗口的常用方法包括：通过开始菜单搜索、运行对话框（Win+R）输入powershell，或右键开始菜单选择“Windows PowerShell”。

# 检查现有防火墙规则
Get-NetFirewallRule | Format-Table Name,Enabled
 
# 禁止可疑IP（示例：1.2.3.4）
New-NetFirewallRule -DisplayName "Block Miner" -Direction Outbound -RemoteAddress 1.2.3.4 -Action Block

3. 终止挖矿进程

方法一：任务管理器 → 查找高CPU进程 → 右键结束进程。

方法二：命令行彻底清理 ：

# 按CPU排序进程
Get-Process | Sort-Object CPU -Descending | Select-Object -First 10
 
# 终止恶意进程（PID替换为实际值）
Stop-Process -ID <PID> -Force

示例：假设需要终止explorer进程

四、持久化机制清理

1. 排查自启动项

● 注册表检查

执行：regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

删除可疑键值（如异常.exe或.vbs路径）。

● 系统启动文件夹

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\<用户名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

2. 检查计划任务

# 查看所有任务
Get-ScheduledTask | Where-Object { $_.State -eq "Ready" } | Format-Table TaskName
 
# 删除恶意任务
Unregister-ScheduledTask -TaskName "<恶意任务名>" -Confirm:$false

3. 排查恶意服务

# 查找异常服务
Get-Service | Where-Object { $_.DisplayName -match "miner|XMR|eth" }
 
# 停止并删除服务
Stop-Service -Name "<服务名>" -Force
sc.exe delete "<服务名>"

4. 清除WMI后门

# 检查恶意WMI事件订阅
Get-WMIObject -Namespace root\Subscription -Class __EventFilter
 
# 删除可疑条目（名称替换为实际值）
Remove-WmiObject -Path "\\localhost\root\subscription:__EventFilter.Name='<恶意事件名>'"

五、文件系统深度清理

1. 定位恶意文件

方法一：使用 Process Explorer（Sysinternals工具）查看进程文件路径。

方法二：搜索近期修改的文件：

Get-ChildItem -Path C:\ -Recurse -File | Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-3) } | Select-Object FullName

2. 重点目录排查

∙ C:\Windows\Temp\

∙ C:\Users\<用户名>\AppData\Local\Temp\

∙ C:\Windows\System32\Tasks\（计划任务脚本）

3. 删除确认的恶意文件

Takeown /F <文件路径> /A
Icacls <文件路径> /grant Administrators:F
Del /F /Q <文件路径>

六、系统加固建议

1. 补丁与防护

∙ 启用Windows Update自动更新。

∙ 安装腾讯云主机安全 或Microsoft Defender实时扫描。

2. 权限最小化

∙ 禁用Administrator默认账户，创建低权限运维账户。

∙ 配置组策略限制PowerShell执行（gpedit.msc → 脚本执行策略）。

3. 审计增强

# 启用进程创建日志
Set-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 -Action Enabled

七、常见问题解决

1. 清理后复发

∙ 检查是否存在隐藏的 计划任务 或 WMI持久化。

∙ 使用Autoruns（Sysinternals）扫描所有自启动项。

2. 系统命令被劫持

∙ 从纯净系统拷贝cmd.exe、powershell.exe等文件覆盖。

∙ 使用SFC /SCANNOW修复系统文件。

3. 确认恶意文件

上传可疑文件至VirusTotal（VirusTotal）检测。

更多参考指引：

1、《Linux挖矿木马自助清理手册》https://cloud.tencent.com/developer/article/1834731

2、《Windows 入侵类问题排查思路》：主机安全 Windows 入侵类问题排查思路_腾讯云

重要提醒 ：建议完成清理后需重启服务器并持续监控资源占用48小时。