资料下载
资料下载
“挖矿”木马排查处置方法和防范指南
日期:2022-03-15 15:13:41    来源:信息化办公室

一、什么是“挖矿”木马?

 

虚拟货币“挖矿”是指依据特定算法,通过运算获得虚拟的加密数字货币,常见的有比特币、以太坊币、门罗币、EOS币等。由于虚拟货币“挖矿”需要借助计算机高速运算,消耗大量资源,一些不法分子通过植入挖矿木马,控制受害者计算机或服务器进行虚拟货币“挖矿”。相比其他网络黑产,挖矿木马获利非常直接、非常暴利,“挖矿”木马攻击事件呈爆发式增长。

 

二、“挖矿”木马如何排查处置?

 

1、排查方法:“挖矿”木马被植入主机后,利用主机的运算力进行挖矿,主要体现在 CPUGPU使用率高达 90%以上,有大量对外进行网络连接的日志记录。

 

2、处置方法:一旦发现计算机或服务器存在上述现象,则极有可能已经感染了“挖矿”木马。可以通过以下步骤来删除:

 

1)对恶意程序进行清除操作,由于“挖矿”木马具有很强存活能力,不建议手工查杀,建议使用杀毒软件,对主机进行全盘扫描和查杀,如无法清除,建议重新安装操作系统及应用软件;

 

Linux/mac 系统,也可参照以下说明进行排查:

 

A.排查是否存在异常的资源使用率(内存、CPU )、启动项、进程、计划任务等,使用相关系统命令(netstat)查看是否存在不正常的网络连接,top检查可疑进程,pkill杀死进程,如果进程还存在,说明一定有定时任务或守护进程(开机启动),检查 /var/spool/cron/root /etc/crontab /etc/rc.local

 

B.查找可疑程序的位置将其删除,如果删除不掉,查看隐藏权限。lsattr chattr 修改权限后将其删除。

 

C.查看/root/.ssh/目录下是否设置了免秘钥登录,并查看ssh_config 配置文件是否被篡改。

 

2)使用防火墙关闭不必要的访问端口号或服务, 重启主机后,再测试是否还有可疑进程存在。

 

3)系统登录设置强密码(8 位以上,大小写字母、数字及特殊字符的组合)。

 

三、“挖矿”木马如何防范?

 

“挖矿”木马大多利用计算机常见漏洞,如未授权访问、远程命令执行漏洞、弱口令、零日(0Day)漏洞等,做好日常防范非常关键。

 

1.安装正版操作系统,及时更新操作系统补丁。

 

2.安装安全防护软件并升级至最新病毒和规则库,定期检测计算机、服务器安全状况,定期全盘扫描,保持实时防护。安全检测范围包括但不限于:

 

1)是否有新增账户、未知进程;

 

2)定期检查系统安全日志,查看是否存在异常;

 

3)安全防护软件是否存在异常拦截情况。

 

3.多台终端设备不要使用相同的账号和口令,登录口令要有足够长度和复杂性,并定期更换登录口令。

 

4.从正规渠道下载安装软件,不安装未知来源的第三方软件,不点击未知的链接。

 

5.不打开来源不明的文档、邮件、邮件附件等。

 

6.不浏览被安全软件提示为恶意或存在风险的网站。

 

7.不使用未经杀毒的U盘、移动硬盘等存储设备。

 

8.开启防火墙,服务器配置访问控制,仅允许授权IP地址访问。

 

9.不共享使用上网账号,避免使用远程控制类软件,非必要不通过远程手段控制主机。

 

10.如无法自行处理“挖矿”木马,尝试备份必要文件并重装正版操作系统。  

 

黄淮学院
信息化办公室

  

通讯地址:河南省驻马店市开源大道76号黄淮学院北校区智慧校园体验中心北侧

联系电话:0396-2853351 2879111