处理挖矿程序
-
使用云安全中心处理挖矿程序:
- 登录云安全中心控制台 :在控制台左上角选择需防护资产所在的区域。
- 病毒查杀 :在左侧导航栏选择 "病毒查杀",在 "病毒查杀" 页面单击 "立即扫描" 或 "重新扫描"。扫描完成后,单击目标告警 "操作" 列的 "处理",在 "告警处理" 面板选择 "深度查杀",单击 "下一步",系统开始处理告警。
-
手动处理挖矿程序:
-
Linux 系统:
- 阻断恶意网络通信 :执行
netstat -antp查看当前系统网络连接状态。将命令中的c2 地址替换为正常业务不会使用的可疑远程地址,然后执行iptables -A INPUT -s c2 地址 -j DROP和iptables -A OUTPUT -d c2 地址 -j DROP命令添加防火墙规则,阻断服务器与该可疑地址之间的所有网络连接。 - 清除计划任务 :挖矿木马常通过计划任务实现定期下载和启动挖矿木马。排查以下计划任务文件,删除计划任务中的挖矿木马下载和启动任务。可以使用
crontab -l、crontab -u username -l查看当前用户或指定用户的计划任务,主机所有计划任务文件包括/etc/crontab、/var/spool/cron/、/etc/anacrontab、/etc/cron.d/、/etc/cron.hourly/、/etc/cron.daily/、/etc/cron.weekly/、/etc/cron.monthly/。 - 清除恶意账号 :挖矿木马可能会创建新的后门账号,执行
cat /var/log/audit/audit.log | grep useradd或cat /var/log/secure | grep 'new user'查看近期是否有创建账号行为,也可通过/etc/passwd文件查看是否有可疑账号,并通过账户的home目录查看可疑账户的创建或最近活跃时间。 - 清除
.so劫持 :通过/etc/ld.so.preload文件设定预加载的.so文件,可以劫持常见的系统命令。执行相关命令排查预加载的.so文件,并执行echo > /etc/ld.so.preload删除预加载劫持。
- 阻断恶意网络通信 :执行
-
Windows 系统:
- 排查可疑进程 :在 PowerShell 中执行
ps | sort -des cpu或While (1) {ps | sort -des cpu | select -f 15 | ft -a; sleep 1; cls}命令,通过 CPU 占用情况排查可疑的挖矿进程。还可执行wmic process where processid=xxx get processid,executablepath,commandline,name查看挖矿进程的磁盘文件、进程启动命令的参数。 - 清除挖矿文件和计划任务 :结束挖矿进程后,清除挖矿文件。执行
netstat -ano | findstr xxx查看服务器中 hosts 文件是否存在挖矿程序的矿池地址,执行type C:\Windows\System32\drivers\etc\hosts查看该文件。同时排查是否存在挖矿程序设定的计划任务。
- 排查可疑进程 :在 PowerShell 中执行
-
防御挖矿程序
-
事前阶段:
- 设置访问控制策略 :通过云防火墙的访问控制功能,仅放行可信流量,创建出方向访问控制策略,对可信的外网 IP 进行放行,而对其他 IP 访问全部拒绝。
- 开启威胁引擎开关 :在云防火墙中开启威胁引擎开关,及时阻断挖矿行为。
- 使用入侵防御功能 :通过云防火墙的入侵防御功能,有效检测并拦截攻击流量。
- 定期更新安全补丁 :及时安装服务器操作系统和软件的安全补丁和更新,修复已知的漏洞。
- 强化访问控制和身份验证 :实施强密码策略,并使用多因素身份验证,限制服务器的访问权限。
-
事中阶段:
- 快速检出挖矿蠕虫 :通过云防火墙的失陷感知功能快速检出挖矿蠕虫,在失陷感知页面定位到列表中具体事件和外联地址。
- 快速止血 :开启云防火墙的基础防御开关,对恶意文件下载进行阻断;利用云防火墙入侵防御功能快速止血,拦截中控通信;为重点业务区开启强访问控制,防止挖矿蠕虫下载、对外传播。
