应急响应-挖矿木马-常规处置方法
隔离被感染的服务器/主机
- 部分带有蠕虫功能的挖矿木马在取得当前服务器/主机的控制权后,会以当前服务器/主机做跳板,对局域网内的其他机器进行漏洞扫描和利用。所有发现挖矿现象后,在不影响业务的前提下应及时隔离当前服务器/主机,如禁止非业务使用端口、服务、配置ACL白名单,非重要业务系统建议先下线隔离,在做排查。
确认挖矿进程
- 将被感染服务器/主机做完基本隔离后,就要确认是挖矿木马正在运行的进程,以便执行后续的清除工作。挖矿程序的进程名称一般表现为两种形式:一种是程序命名的不规则的数字或字母;另一种是伪装为常见进程名,仅从名称上很难辨别。所以在查看进程时,无论是看似正常的进程名还是不规则的进程名,只要是CPU占用率较高的进程都要逐一排查。
挖矿木马清除
挖矿木马常见的清除过程如下。
阻断矿池地址的连接
- 在网络层阻断挖矿木马与矿池的通信
清除挖矿定时任务、启动项等
- 大部分挖矿进程为了使程序驻留,会在当前服务器/主机中写入定时任务,若只清除挖矿木马,定时任务会直接执行挖矿脚本或从服务器下载挖矿进程,则将导致挖矿进程清除失败。所有在清除挖矿木马时,需要查看是否有可疑的定时任务,并及时删除。
- 还有的挖矿进程为确保系统重启后挖矿进程还能重新启动,会在系统中添加启动项。所有在清除时还应该关注启动项中的内容,如果有可疑的启动项,也应该进行排查,确认是挖矿进程后,进行清除。
定位挖矿木马文件的位置并删除
- 在Windwos系统下,使用【netstat -ano 】系统命令可定位挖矿木马连接的PID,在通过【tasklist】命令可定位挖矿木马的进程名称,最后通过任务管理器查看进程,找到挖矿木马文件的位置并进行清除。
- 在Linux系统中,使用【netstat -anpt】系统命令可可查看挖矿木马进程、端口及对应的PID,使用【ls -alh /proc/PID】命令可查看挖矿木马对应的可执行程序,最后使用【kill -9 PID】命令可结束进程,使用【rm -rf filename】命令可删除该文件。
- 在实际操作中,应根据脚本的执行流程确定挖矿木马的驻留方法,并按照顺序进行清除,避免清除不彻底。
挖矿木马防范
挖矿木马僵尸网络的防范
- 挖矿木马僵尸网络主要针对服务器进行攻击,攻击者通过入侵服务器植入挖矿机程序获利。要将挖矿木马僵尸网络扼杀在摇篮中,就要有效防范攻击者的入侵行为。以下是防范挖矿木马僵尸网络的方法。
避免使用弱密码
- 服务器登录账户和开放端口的服务(如MySQL服务)应使用强密码。规模庞大的僵尸网络拥有完备的弱密码暴力破解模块,避免使用弱密码可疑有效防范僵尸网络发起的弱密码暴力破解。
及时打补丁
- 通常,在大部分漏洞细节公布之前,相应厂商就会推送相关补丁。因此,及时为系统和相关服务打补丁可有效避免攻击。
服务器定期维护
- 挖矿木马一般会持久化驻留在服务器中,若未能定期查看服务器状态,则其很那被发现。因此,定期维护服务器,包括查看服务器操作系统CPU使用了是否异常、是否存在可疑进程、任务计划中是否存在可疑项等。
网页/客户端挖矿木马防范
浏览网页或启动端时注意CPU/GPU的使用率
- 挖矿木马脚本的运行会导致CPU/GPU使用率飙升,如果在浏览网页或使用客户端时发现这一现象,并且大部分CPU的使用均来自浏览器或未知进程,那么网页或客户端可能嵌入了挖矿木马脚本。发现后应及时排查异常,找到挖矿程序并清除。
避免访问被标记为高风险的网站
- 大部分杀毒软件和浏览器都具备检测网页挖矿木马脚本的能力,访问被标注为高风险的恶意网站,就会有被嵌入挖矿木马脚本的风险。因此,我们应避免访问被标记为高风险的网站。
避免下载来源不明的客户端和外挂等辅助软件
- 来源不明的客户端和外挂对会隐藏挖矿木马,因此,我们应避免下载来源不明的客户端和外挂等辅助软件。