“挖礦”排查處置方法

發布日期：2022-08-04 12:2讀海0:37  浏覽次數：1278空的

一、什麼是挖礦木(mù)馬？

虛拟貨币“挖礦”是指依據特定算法，通(tōng)過運算去獲服時得(de)虛拟的加密數字貨币，常見的有比特兒刀币、以太坊币、門羅币、EOS币等。由于虛拟貨币“挖礦”需要借助計高國算機高速運算，消耗大(dà)量資(zī)源，一些不(bù)法分子(zǐ)通(我明tōng)過植入挖礦木(mù)馬，控制受害者計算機進行虛拟貨币“挖礦”。

二、“挖礦”排查處置方法

1. 排查方法

   挖礦病毒被植入主機後，利用主機的運算力進行挖礦，主要表現為(wèi)CPU、GPU使用率高達90以上，有大(dà)量對外進行網絡連接的日志記錄。

2. 處置方法

   一旦發現主機或服務器(qì)存在上述現象，則極有可能已經感染了挖礦病毒。可以通(t姐司ōng)過以下步驟來删除病毒：

   1. Windows系統

   對惡意程序進行清除操作，由于挖礦木(mù)馬具有很強存活能力，不(bù)建子吃議手工(gōng)查殺，建議使用殺毒軟件,對主機進行全盤掃描和查殺，如(rú)無答老法清除的建議重新安裝系統及應用。

   2. Linux/mac系統

   （1）安裝防病毒軟件，對主機進行全盤掃描和查殺，如(r黑媽ú)無法清除的建議重新安裝系統及應用。

   （2）具備較強動手能力，可參照以下說(shuō)明進行排查：

1. 排查是否存在異常的資(zī)源使用率(内存、CPU等)、啟動項、進程、計劃任務等，使用相關系統命令(如(rú)netstat)查看是否存在不(bù)正常的網絡連接，top檢查可疑進程，pkill殺死進程，如(rú)果進程還能存在，說(shuō)明一定有定時(shí)任務或高廠守護進程（開(kāi)機啟動），檢查/var/spool/cron/root，/etc/crontab和/etc/rc.local話機；

2. 查找可疑程序的位置将其删除，如(rú)果删除不(bù場音)掉，查看隐藏權限。lsattr chattr 修改權限後将其删除；

3. 查看/root/.ssh/目錄下是否設置了免密鑰登錄，并查看ssh_config配置文件是否被篡改；

4. 防火牆關閉不(bù)必要的訪問端口号或服務，重啟再測通小試是否還會(huì)有可疑進程存在；

5. 建議系統登錄設置強密碼（8位以上，大(dà)小(xiǎo)寫字母、數字及特殊間金字符的組合）。

（3）防範建議

1.多台機器(qì)不(bù)要使用相同的賬号和口令動短，登錄口令要有足夠的長(cháng)度和複雜性，并定期更換登空街錄口令；

2.定期檢測電腦、服務器(qì)、WEB網站中的安全漏洞，及時(shí)更新補丁；

3.定期檢查計算機、電腦中的安全日志，查看是否存在異常；

4.安裝安全軟件并升級病毒庫，定期全盤掃描，保持實時(shí)防護；

5.從正規渠道下載安裝軟件，不(bù)安裝未知的第三方軟謝算件，不(bù)點擊未知的鍊接；

6.不(bù)使用未經殺毒的U盤、移動硬盤等存儲設備；

7.開(kāi)啟防火牆，服務器(qì)配置訪問控制，僅允許授權IP地址訪問；

8.如(rú)無法自行處理“挖礦”木(mù)馬，嘗試備份必要文件并重裝可理正版操作系統；

9.下班後徹底斷網斷電。

三、殺毒軟件參考