1. 挖矿木马应急响应常规处置方法

一、隔离被感染的服务器/主机

部分带有蠕虫功能的挖矿木马在取得当前服务器/主机的控制权后,会以当前服务器/主机做跳板,对局域网内的其他机器进行漏洞扫描和利用。所有发现挖矿现象后,在不影响业务的前提下应及时隔离当前服务器/主机,如禁止非业务使用端口、服务、配置ACL白名单,非重要业务系统建议先下线隔离,在做排查。

二、确认挖矿进程

将被感染服务器/主机做完基本隔离后,就要确认是挖矿木马正在运行的进程,以便执行后续的清除工作。挖矿程序的进程名称一般表现为两种形式:

  • 一种是程序命名的不规则的数字或字母
  • 另一种是伪装为常见进程名,仅从名称上很难辨别

所以在查看进程时,无论是看似正常的进程名还是不规则的进程名,只要是CPU占用率较高的进程都要逐一排查。

三、挖矿木马清除

3.1 阻断矿池地址的连接

在网络层阻断挖矿木马与矿池的通信。

3.2 清除挖矿定时任务、启动项等

大部分挖矿进程为了使程序驻留,会在当前服务器/主机中写入定时任务,若只清除挖矿木马,定时任务会直接执行挖矿脚本或从服务器下载挖矿进程,则将导致挖矿进程清除失败。所有在清除挖矿木马时,需要查看是否有可疑的定时任务,并及时删除。

还有的挖矿进程为确保系统重启后挖矿进程还能重新启动,会在系统中添加启动项。所有在清除时还应该关注启动项中的内容,如果有可疑的启动项,也应该进行排查,确认是挖矿进程后,进行清除。

3.3 定位挖矿木马文件的位置并删除

在Windows系统下,使用netstat -ano系统命令可定位挖矿木马连接的PID,再通过tasklist /FI "PID eq [PID]"命令定位挖矿程序文件。在Linux系统下,使用netstat -anpt命令可定位挖矿木马连接的PID,再通过ls -al /proc/[PID]/exe命令定位挖矿程序文件。

四、防范建议

  1. 使用强密码:避免使用弱密码,减少被暴力破解的风险
  2. 及时打补丁:定期更新系统和软件补丁,修复已知漏洞
  3. 定期维护服务器:定期检查系统日志、进程、网络连接等
  4. 部署安全防护软件:安装防病毒软件,开启实时监控功能
  5. 网络隔离:合理划分安全域,限制不必要的网络访问
  • 链接:https://blog.csdn.net/qq_50765147/article/details/136094740