一����、排查方法
挖礦病毒被植入主機(jī)后�����,利用主機(jī)的運(yùn)算力進(jìn)行挖礦���,主要體現(xiàn)在CPU使用率高達(dá)90%以上����,有大量對(duì)外進(jìn)行網(wǎng)絡(luò)連接的日志記錄���。
Linux主機(jī)中挖礦病毒后的現(xiàn)象如下圖所示:
Windows主機(jī)中挖礦病毒后的現(xiàn)象如下圖所示:
二�、處置方法
一旦發(fā)現(xiàn)主機(jī)或服務(wù)器存在上述現(xiàn)象��,則極有可能已經(jīng)感染了挖礦病毒���。可以通過(guò)以下步驟來(lái)刪除病毒:
(一)Windows系統(tǒng)
1�����、對(duì)惡意程序進(jìn)行清除操作���,由于挖礦木馬具有很強(qiáng)存活能力���,不建議手工查殺����,建議使用殺毒軟件對(duì)主機(jī)進(jìn)行全盤(pán)掃描和查殺�����,如無(wú)法清除的建議重新安裝系統(tǒng)及應(yīng)用��;
2�、在防火墻關(guān)閉不必要的映射端口號(hào)或服務(wù),重啟再測(cè)試是否還會(huì)有可疑進(jìn)程存在�����;
3��、對(duì)操作系統(tǒng)及系統(tǒng)相關(guān)管理界面的登錄設(shè)置強(qiáng)密碼(10位以上��,大小寫(xiě)字母�、數(shù)字及特殊字符的組合)。
(二)Linux/mac系統(tǒng)
1����、通過(guò)安裝防病毒軟件(詳見(jiàn)附件)��,對(duì)主機(jī)進(jìn)行全盤(pán)掃描和查殺����,如無(wú)法清除的建議重新安裝系統(tǒng)及應(yīng)用����;
2、如具備較強(qiáng)動(dòng)手能力�����,可參照以下說(shuō)明進(jìn)行排查:
1)排查是否存在異常的資源使用率(內(nèi)存����、CPU等)、啟動(dòng)項(xiàng)����、進(jìn)程、計(jì)劃任務(wù)等����,使用相關(guān)系統(tǒng)命令(如netstat)查看是否存在不正常的網(wǎng)絡(luò)連接,top 檢查可疑進(jìn)程�,pkill 殺死進(jìn)程,如果進(jìn)程還能存在���,說(shuō)明一定有定時(shí)任務(wù)或守護(hù)進(jìn)程(開(kāi)機(jī)啟動(dòng))�,檢查/var/spool/cron/root 和/etc/crontab 和/etc/rc.local
2)查找可疑程序的位置將其刪除�����,如果刪除不掉���,查看隱藏權(quán)限���。lsattr chattr 修改權(quán)限后將其刪除。
3)查看/root/.ssh/目錄下是否設(shè)置了免秘鑰登陸����,并查看ssh_config配置文件是否被篡改。
3���、在防火墻關(guān)閉不必要的映射端口號(hào)或服務(wù)�����,重啟再測(cè)試是否還會(huì)有可疑進(jìn)程存在��。
4�����、建議系統(tǒng)管理員對(duì)操作系統(tǒng)及系統(tǒng)相關(guān)管理界面的登錄設(shè)置強(qiáng)密碼(10位以上����,大小寫(xiě)字母、數(shù)字及特殊字符的組合)�����;
三�、防范建議
目前防范挖礦病毒的主要措施有:
1、多臺(tái)機(jī)器不要使用相同的賬號(hào)和口令���,登錄口令要有足夠的長(zhǎng)度和復(fù)雜性��,并定期更換登錄口令����;
2、定期檢查服務(wù)器是否存在異常��,查看范圍包括但不限于:
a)是否有新增賬戶(hù)����、未知進(jìn)程����;
b)系統(tǒng)日志是否存在異常;
c)殺毒軟件是否存在異常攔截情況��;
3�、定期檢測(cè)電腦、服務(wù)器��、WEB網(wǎng)站中的安全漏洞���,及時(shí)更新補(bǔ)??��;
4�����、對(duì)于服務(wù)器�����,建議配置訪問(wèn)控制�����,僅允許授權(quán)IP訪問(wèn)�;
5、安裝安全軟件并升級(jí)病毒庫(kù)���,定期全盤(pán)掃描�,保持實(shí)時(shí)防護(hù)����;
6、從正規(guī)渠道下載安裝軟件�,不安裝未知的第三方軟件,不點(diǎn)擊未知的鏈接���。
