应急响应-挖矿木马-常规处置方法

隔离被感染的服务器/主机

• 部分带有蠕虫功能的挖矿木马在取得当前服务器/主机的控制权后，会以当前服务器/主机做跳板，对局域网内的其他机器进行漏洞扫描和利用。所有发现挖矿现象后，在不影响业务的前提下应及时隔离当前服务器/主机，如禁止非业务使用端口、服务、配置ACL白名单，非重要业务系统建议先下线隔离，在做排查。

确认挖矿进程

• 将被感染服务器/主机做完基本隔离后，就要确认是挖矿木马正在运行的进程，以便执行后续的清除工作。挖矿程序的进程名称一般表现为两种形式：一种是程序命名的不规则的数字或字母；另一种是伪装为常见进程名，仅从名称上很难辨别。所以在查看进程时，无论是看似正常的进程名还是不规则的进程名，只要是CPU占用率较高的进程都要逐一排查。

挖矿木马清除

挖矿木马常见的清除过程如下。

阻断矿池地址的连接

• 在网络层阻断挖矿木马与矿池的通信

清除挖矿定时任务、启动项等

• 大部分挖矿进程为了使程序驻留，会在当前服务器/主机中写入定时任务，若只清除挖矿木马，定时任务会直接执行挖矿脚本或从服务器下载挖矿进程，则将导致挖矿进程清除失败。所有在清除挖矿木马时，需要查看是否有可疑的定时任务，并及时删除。
• 还有的挖矿进程为确保系统重启后挖矿进程还能重新启动，会在系统中添加启动项。所有在清除时还应该关注启动项中的内容，如果有可疑的启动项，也应该进行排查，确认是挖矿进程后，进行清除。

定位挖矿木马文件的位置并删除

• 在Windwos系统下，使用【netstat -ano 】系统命令可定位挖矿木马连接的PID，在通过【tasklist】命令可定位挖矿木马的进程名称，最后通过任务管理器查看进程，找到挖矿木马文件的位置并进行清除。
• 在Linux系统中，使用【netstat -anpt】系统命令可可查看挖矿木马进程、端口及对应的PID，使用【ls -alh /proc/PID】命令可查看挖矿木马对应的可执行程序，最后使用【kill -9 PID】命令可结束进程，使用【rm -rf filename】命令可删除该文件。
• 在实际操作中，应根据脚本的执行流程确定挖矿木马的驻留方法，并按照顺序进行清除，避免清除不彻底。

挖矿木马防范

挖矿木马僵尸网络的防范

• 挖矿木马僵尸网络主要针对服务器进行攻击，攻击者通过入侵服务器植入挖矿机程序获利。要将挖矿木马僵尸网络扼杀在摇篮中，就要有效防范攻击者的入侵行为。以下是防范挖矿木马僵尸网络的方法。

避免使用弱密码

• 服务器登录账户和开放端口的服务（如MySQL服务）应使用强密码。规模庞大的僵尸网络拥有完备的弱密码暴力破解模块，避免使用弱密码可疑有效防范僵尸网络发起的弱密码暴力破解。

及时打补丁

• 通常，在大部分漏洞细节公布之前，相应厂商就会推送相关补丁。因此，及时为系统和相关服务打补丁可有效避免攻击。

服务器定期维护

• 挖矿木马一般会持久化驻留在服务器中，若未能定期查看服务器状态，则其很那被发现。因此，定期维护服务器，包括查看服务器操作系统CPU使用了是否异常、是否存在可疑进程、任务计划中是否存在可疑项等。

网页/客户端挖矿木马防范

浏览网页或启动端时注意CPU/GPU的使用率

• 挖矿木马脚本的运行会导致CPU/GPU使用率飙升，如果在浏览网页或使用客户端时发现这一现象，并且大部分CPU的使用均来自浏览器或未知进程，那么网页或客户端可能嵌入了挖矿木马脚本。发现后应及时排查异常，找到挖矿程序并清除。

避免访问被标记为高风险的网站

• 大部分杀毒软件和浏览器都具备检测网页挖矿木马脚本的能力，访问被标注为高风险的恶意网站，就会有被嵌入挖矿木马脚本的风险。因此，我们应避免访问被标记为高风险的网站。

避免下载来源不明的客户端和外挂等辅助软件

• 来源不明的客户端和外挂对会隐藏挖矿木马，因此，我们应避免下载来源不明的客户端和外挂等辅助软件。