“挖礦”排查處置方法

發布日期：2022-08-04 12:20:37  瀏覽次數：3736

一、什么是挖礦木馬？

虛擬貨幣“挖礦”是指依據特定算法，通過運算去獲得虛擬的加密數字貨幣，常見的有比特幣、以太坊幣、門羅幣、EOS幣等。由于虛擬貨幣“挖礦”需要借助計算機高速運算，消耗大量資源，一些不法分子通過植入挖礦木馬，控制受害者計算機進行虛擬貨幣“挖礦”。

二、“挖礦”排查處置方法

1. 排查方法

   挖礦病毒被植入主機后，利用主機的運算力進行挖礦，主要表現為CPU、GPU使用率高達90以上，有大量對外進行網絡連接的日志記錄。

2. 處置方法

   一旦發現主機或服務器存在上述現象，則極有可能已經感染了挖礦病毒。可以通過以下步驟來刪除病毒：

   1. Windows系統

   對惡意程序進行清除操作，由于挖礦木馬具有很強存活能力，不建議手工查殺，建議使用殺毒軟件,對主機進行全盤掃描和查殺，如無法清除的建議重新安裝系統及應用。

   2. Linux/mac系統

   （1）安裝防病毒軟件，對主機進行全盤掃描和查殺，如無法清除的建議重新安裝系統及應用。

   （2）具備較強動手能力，可參照以下說明進行排查：

1. 排查是否存在異常的資源使用率(內存、CPU等)、啟動項、進程、計劃任務等，使用相關系統命令(如netstat)查看是否存在不正常的網絡連接，top檢查可疑進程，pkill殺死進程，如果進程還能存在，說明一定有定時任務或守護進程（開機啟動），檢查/var/spool/cron/root，/etc/crontab和/etc/rc.local；

2. 查找可疑程序的位置將其刪除，如果刪除不掉，查看隱藏權限。lsattr chattr 修改權限后將其刪除；

3. 查看/root/.ssh/目錄下是否設置了免密鑰登錄，并查看ssh_config配置文件是否被篡改；

4. 防火墻關閉不必要的訪問端口號或服務，重啟再測試是否還會有可疑進程存在；

5. 建議系統登錄設置強密碼（8位以上，大小寫字母、數字及特殊字符的組合）。

（3）防范建議

1.多臺機器不要使用相同的賬號和口令，登錄口令要有足夠的長度和復雜性，并定期更換登錄口令；

2.定期檢測電腦、服務器、WEB網站中的安全漏洞，及時更新補丁；

3.定期檢查計算機、電腦中的安全日志，查看是否存在異常；

4.安裝安全軟件并升級病毒庫，定期全盤掃描，保持實時防護；

5.從正規渠道下載安裝軟件，不安裝未知的第三方軟件，不點擊未知的鏈接；

6.不使用未經殺毒的U盤、移動硬盤等存儲設備；

7.開啟防火墻，服務器配置訪問控制，僅允許授權IP地址訪問；

8.如無法自行處理“挖礦”木馬，嘗試備份必要文件并重裝正版操作系統；

9.下班后徹底斷網斷電。

三、殺毒軟件參考