一、自查是否感染惡意“挖礦”程序
(一)硬件排查法
挖礦程序通常會(huì)占用大量的輛路系統資源和網絡資源,通常會(hu微們ì)導緻主機卡頓情況并且主機異響嚴重,在線業務或服務頻繁無響應,内部網絡業來擁堵,反複重啟,排除系統和程序本身的問題後(hò美好u)重啟依然無法恢複,如出現上述情況,就(ji靜化ù)需要考慮是否感染了惡意挖礦程序。也有部分挖礦程序僅在主機空閑時(shí)間農視啟用定時(shí)任務挖礦,隐蔽性較強。
(二)技術排查法
挖礦病毒被(bèi)植入主機後(hòu),利用主機是件的運算力進(jìn)行挖礦,主要體現在CPU使用率高,有大量對(duì)計們外進(jìn)行網絡連接的日志記錄。
國通
(1)CPU占用率
Windows主機中挖礦病毒後(hòu)的現象如下圖所示(Ct匠大rl+alt+delete打開(kāi)任務管理器,選擇“性能說們(néng)”):
點擊“進(jìn)程”,并通過(guò)占用率排序,查找CPU占用率高的進理雜(jìn)程。如非系統進(jìn)程,及時(shí)關閉。
Linux主機枚舉進(jìn)程,得公使用top 命令顯示CPU占用率降序排明習序,CPU占用率超過(guò)70%且名字比較可疑的進(jìn飛數)程,大概率是挖礦病毒。如下圖所示:器北
(2)進(jìn)程行為
Linux主機根據程序CPU資源占用率排序,進(jìn)一步執行枚道話舉進(jìn)程命令行:ps -aux。
病毒一般都(dōu)攜帶可疑的命令行,當你發(fā)現命令行中玩遠帶有url等奇怪的字符串時(shí),就(jiù)要注意了,它很可能(n紙家éng)是個病毒下載器。
(3)網絡連接狀态
通過(guò)netstat命令可以查看笑懂操作系統網絡狀态信息。如Windows主機可使用net工河stat -ano命令查看主機網絡連接狀态和對(duì)應進(jì算年n)程,判斷是否存在異常的網絡連接。
Linux主機可使用netstat -napt命令查看主機新體網絡連接狀态和對(duì)應進(jìn)程,判斷是否存在異唱場常的網絡連接。
上圖的 80、443端口,一般是正常業務計件開(kāi)放端口。如果顯示存在腦開對(duì)其他大量主機的特殊端口(如22,445快房,3389,6379等端口),特别是110,8888,8999,808高樹0等,或者全端口發(fā)起(qǐ)網絡連接嘗試,則當前主機可能(nén又她g)已經(jīng)存在挖礦病毒。
(4)自啟動行為
Windows主機可在任務管理器“啟動”欄看呢查看是否有未知進(jìn)程啟用自啟動,如有,則可能(néng姐舞)已感染挖礦病毒。
Linux主機可查看/etc/cront什坐ab有無可疑定時(shí)程序笑女,如有,則可能(néng)已感染挖礦病毒。
(5)文件篡改行為
Linux主機若發(fā)現/etc/passwd 文件下有增加陌生用空上戶,/etc/rc.local文件增加信近陌生動态庫文件,cat /proc/$$/mountinfo查看有進(麗熱jìn)程被(bèi)mount,則可能(néng)已感染挖礦病毒。
草從
二、“挖礦”處置方法
如發(fā)現主機或服務器存在感染挖礦病毒的現象,可以通歌什過(guò)以下步驟進(jìn)行處置:
(一)Windows系統
1、由于挖礦木馬具有很強存活能(nén睡內g)力,建議使用殺毒軟件對(duì)惡意程序進(jìn)行清除操作,舊朋對(duì)主機進(jìn)行全盤掃紅有描和查殺。不同類型挖礦病毒傳播方式不同,個别類型的挖礦會(h人熱uì)通過(guò)内網進(jìn)行橫向(xi議姐àng)擴散,盡可能(néng)實施斷網殺毒;
物花
2、如殺毒軟件無法清除,建議重新安裝系統及應用;
道木
3、在防火牆關閉不必要的訪問關火端口号或服務,重啟再測試是否仍有可疑進(jì離術n)程存在;
4、將(jiāng)系統登錄設置強密金間碼(8位以上,大小寫字母、數字及特殊字符的組合)。
(二)Linux/Mac系統
1、通過(guò)安裝防病毒軟件,對(duì)主機進(jìn)行全頻房盤掃描和查殺。不同類型挖礦病毒傳播方式不同,個别類型的挖礦會(hu河子ì)通過(guò)内網進(jìn)行橫向(xiàng)擴散,盡可能(néng黑唱)實施斷網殺毒;
2、如無法清除的建議重新安裝系統及應用;
3、如具備較強動手能(néng)力,可參照以下說(sh高通uō)明進(jìn)行處置:
(1)排查是否存在異常的資源使用率(内存、C站文PU等)、啟動項、進(jìn)電喝程、計劃任務等,使用相關系統命令(如net人子stat) 查看是否存在不正常的網絡連接,top 檢查可疑進(jìn)程,p醫離kill 殺死進(jìn)程,如果進(jìn)程是如還(hái)能(néng)存在,說(shuō)明一定有定時(shí)和見任務或守護進(jìn)程(開(kāi)機啟動),檢查/var/s對吧pool/cron/root 、/etc/cron兵少tab 和/etc/rc.local等;
(2)查找可疑程序的位置將(jiāng)其删除,如果删除不掉,查看隐藏權限關友。lsattr chattr 修他又改權限後(hòu)將(jiāng)其删除;
(3)查看/root/.ssh/目錄下是個生否設置了免秘鑰登錄,并查看ssh_c山近onfig配置文件是否被(bèi)篡改。
4、在防火牆關閉不必要的訪問端口号或服務,重啟再測試是否還(路資hái)會(huì)有可疑進(jìn)程存在。
5、將(jiāng)系統登錄設置強密碼(8位以上,大小寫字母、數字快票及特殊字符的組合)。
三、如何避免感染惡意“挖礦”程序
1、多台機器不使用相同的賬号和口令,登錄口令要有足夠舞湖的長(cháng)度和複雜性(8位以上,大小寫字母、數字及特殊字符的組合),又朋并定期更換登錄口令。
2、定期檢測電腦、服務器、WEB網站中的安全漏洞,及時(shí)更新補丁。有弟
3、安裝安全軟件并升級病毒庫,定期全盤掃描,保持實時(shí)防護。
北煙
4、從正規渠道(dào)下載安裝軟件,不安裝未知的第三方軟件讀可,不點擊未知的鍊接,不打開(kāi)來曆不明來北的郵件及附件。
針對(duì)于服務器:
1、在使用的相關系統、組件和服短愛務出現公開(kāi)的遠程利用漏洞時(shí不空),系統管理員以及運維人員應該盡快更新工資到(dào)最新版本,或在未推出安全更新時(shí少理)采取恰當的緩解措施。
2、對(duì)于在線系統和業務需要采用正确的安全配置信去策略,使用嚴格的認證和授權策略,并設置複雜的訪問憑證。
3、梳理系統、應用權限,删除多餘、無山志用賬号,做好(hǎo)賬号權限分離。
4、定期檢查服務器是否存在異常吃湖,查看範圍包括但不限于:
(1)是否有新增賬戶、未知進(jìn)程;
(2)系統日志是否存在異常;
草爸
(3)殺毒軟件是否存在異常攔截情況。