挖矿木马的处置建议

挖矿木马是利用各种方法入侵计算机,利用被入侵计算机的算力挖掘加密数字货币以牟取利益的木马。其既可以是一段自动化扫描、攻击的脚本,也可以集成在单个可执行文件中。挖矿木马为了能够长期在服务器中驻留,会采用多种安全对抗技术,如修改任务计划、修改防火墙配置、修改系统动态链接库等,使用这些技术手段严重时可能造成服务器业务中断。



5.2.1 隔离被感染的服务器/主机
部分带有蠕虫功能的挖矿木马在取得当前服务器/主机的控制权后,会以当前服务器/主机为跳板,对同一局域网内的其他机器进行漏洞扫描和利用。所以在发现挖矿现象后,在不影响业务的前提下应及时隔离当前服务器/主机,如禁用非业务使用端口、服务,配置ACL白名单,非重要业务系统建议先下线隔离,再做排查。5.2.2 确认挖矿进程将被感染服务器/主机做完基本隔离后,就要确认哪些是挖矿木马正在运行的进程,以便执行后续的清除工作。挖矿程序的进程名称一般表现为两种形式:一种是程序命名为不规则的数字或字母;另一种是伪装为常见进程名,仅从名称上很难辨别。所以在查看进程时,无论是看似正常的进程名还是不规则的进程名,只要是CUP占用率较高的进程都要逐一排查。5.2.3 挖矿木马清除挖矿木马常见的清除过程如下。(1)阻断矿池地址的连接。在网络层阻断挖矿木马与矿池的通信。(2)清除挖矿定时任务、启动项等。


大部分挖矿进程为了使程序驻留,会在当前服务器/主机中写入定时任务,若只清除挖矿木马,定时任务会直接执行挖矿脚本或再次从服务器下载挖矿进程,则将导致挖矿进程清除失败。所以在清除挖矿木马时,需要查看是否有可疑的定时任务,并及时删除。还有的挖矿进程为确保系统重启后挖矿进程还能重新启动,会在系统中添加启动项。所以在清除时还应该关注启动项中的内容,如果有可疑的启动项,也应该进行排查,确认是挖矿进程后,进行清除。(3)定位挖矿木马文件的位置并删除在Windows系统下,使用【netstat-ano】系统命令可定位挖矿木马连接的PID,再通过【tasklist】命令可定位挖矿木马的进程名称,最后通过任务管理器查看进程,找到挖矿木马文件的位置并清除。在Linux系统下,使用【netstat-anpt】系统命令可查看挖矿木马进程、端口及对应的PID,使用【ls-alh/proc/PID】命令可查看挖矿木马对应的可执行程序,最后使用【kill-9PID】命令可结束进程,使用【rm-rffilename】命令可删除该文件。在实际操作中,应根据脚本的执行流程确定挖矿木马的驻留方法,并按照顺序进行清除,避免清除不彻底。



挖矿木马僵尸网络主要针对服务器进行攻击,攻击者通过入侵服务器植入挖矿机程序获利。要将挖矿木马僵尸网络扼杀在摇篮中,就要有效防范攻击者的入侵行为。以下是防范挖矿木马僵尸网络的方法。1)避免使用弱密码服务器登录账户和开放端口上的服务(如MySQL服务)应使用强密码。规模庞大的僵尸网络拥有完备的弱密码暴力破解模块,避免使用弱密码可以有效防范僵尸网络发起的弱密码暴力破解。2)及时打补丁通常,在大部分漏洞细节公布之前,相应厂商就会推送相关补丁。因此,及时为系统和相关服务打补丁可有效避免攻击。3)服务器定期维护挖矿木马一般会持久化驻留在服务器中,若未能定期查看服务器状态,则其很难被发现。因此,应定期维护服务器,包括查看服务器操作系统CPU使用率是否异常、是否存在可疑进程、任务计划中是否存在可疑项等。



如何判断遭遇挖矿木马判断是否遭遇挖矿木马,通常采用以下3种方法。(1)被植入挖矿木马的计算机会出现CPU使用率飙升、系统卡顿、部分服务无法正常运行等现象。(2)通过服务器性能监测设备查看服务器性能,从而判断异常。(3)挖矿木马会与矿池地址建立连接,可通过查看安全监测类设备告警判断。


实施以上排查分析流程,在确认了挖矿木马程序或文件后,需及时进行清除加固,防止再次感染。(1)封堵矿池地址。挖矿程序有外连行为,应用安全设备阻断矿池地址,防止用户对外通信。(2)清理任务计划、禁用可疑用户。任务计划的作用是定时启动挖矿程序或更新代码,所以如果确认了挖矿任务计划,应及时清理。由挖矿木马程序创建的用户,可能作为攻击跳板或用作其他攻击操作,当确认为异常用户后,需及时禁用或删除。(3)结束异常进程。大多数挖矿木马的表象特征为占用CPU资源

资源过高,所以当确认为挖矿木马后,应及时结束进程。(4)清除挖矿木马。结束进程并不代表挖矿木马就不会再运行,需要找到对应进程文件及其相关联的脚本文件一并删除。(5)全盘杀毒、加固。实施以上操作后,仍需继续观察是否还有反复迹象,是否还有进程或任务计划没有清理干净。使用杀毒软件全盘杀毒,并对系统、应用做安全加固。删除挖矿木马利用的漏洞,防止系统再次“中招”。


posted @   bonelee  阅读(1152)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· 清华大学推出第四讲使用 DeepSeek + DeepResearch 让科研像聊天一样简单!
· 实操Deepseek接入个人知识库
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· Plotly.NET 一个为 .NET 打造的强大开源交互式图表库
历史上的今天:
2021-03-04 小样本学习,阿里做得比较早,但是效果未知——小样本有3类解决方法(算法维度):迁移学习、元学习(模型基础上学习模型)、度量学习(相似度衡量,也就是搜索思路),数据维度还有GAN
2021-03-04 真实世界中的开集识别问题(Open-Set Recognition Problem)——Walter J. Scheirer研究是最深的,安全里已经有研究了,但是感觉只是触及了皮毛而已
2018-03-04 leetcode 476. Number Complement
2018-03-04 leetcode 561. Array Partition I
2017-03-04 golang 关于golang.org/x包问题
2017-03-04 Golang开发环境搭建-Vim篇
点击右上角即可分享
微信分享提示