挖矿木马的处置建议

挖矿木马是利用各种方法入侵计算机，利用被入侵计算机的算力挖掘加密数字货币以牟取利益的木马。其既可以是一段自动化扫描、攻击的脚本，也可以集成在单个可执行文件中。挖矿木马为了能够长期在服务器中驻留，会采用多种安全对抗技术，如修改任务计划、修改防火墙配置、修改系统动态链接库等，使用这些技术手段严重时可能造成服务器业务中断。

5.2.1　隔离被感染的服务器/主机
部分带有蠕虫功能的挖矿木马在取得当前服务器/主机的控制权后，会以当前服务器/主机为跳板，对同一局域网内的其他机器进行漏洞扫描和利用。所以在发现挖矿现象后，在不影响业务的前提下应及时隔离当前服务器/主机，如禁用非业务使用端口、服务，配置ACL白名单，非重要业务系统建议先下线隔离，再做排查。5.2.2　确认挖矿进程将被感染服务器/主机做完基本隔离后，就要确认哪些是挖矿木马正在运行的进程，以便执行后续的清除工作。挖矿程序的进程名称一般表现为两种形式：一种是程序命名为不规则的数字或字母；另一种是伪装为常见进程名，仅从名称上很难辨别。所以在查看进程时，无论是看似正常的进程名还是不规则的进程名，只要是CUP占用率较高的进程都要逐一排查。5.2.3　挖矿木马清除挖矿木马常见的清除过程如下。（1）阻断矿池地址的连接。在网络层阻断挖矿木马与矿池的通信。（2）清除挖矿定时任务、启动项等。

大部分挖矿进程为了使程序驻留，会在当前服务器/主机中写入定时任务，若只清除挖矿木马，定时任务会直接执行挖矿脚本或再次从服务器下载挖矿进程，则将导致挖矿进程清除失败。所以在清除挖矿木马时，需要查看是否有可疑的定时任务，并及时删除。还有的挖矿进程为确保系统重启后挖矿进程还能重新启动，会在系统中添加启动项。所以在清除时还应该关注启动项中的内容，如果有可疑的启动项，也应该进行排查，确认是挖矿进程后，进行清除。（3）定位挖矿木马文件的位置并删除在Windows系统下，使用【netstat-ano】系统命令可定位挖矿木马连接的PID，再通过【tasklist】命令可定位挖矿木马的进程名称，最后通过任务管理器查看进程，找到挖矿木马文件的位置并清除。在Linux系统下，使用【netstat-anpt】系统命令可查看挖矿木马进程、端口及对应的PID，使用【ls-alh/proc/PID】命令可查看挖矿木马对应的可执行程序，最后使用【kill-9PID】命令可结束进程，使用【rm-rffilename】命令可删除该文件。在实际操作中，应根据脚本的执行流程确定挖矿木马的驻留方法，并按照顺序进行清除，避免清除不彻底。

挖矿木马僵尸网络主要针对服务器进行攻击，攻击者通过入侵服务器植入挖矿机程序获利。要将挖矿木马僵尸网络扼杀在摇篮中，就要有效防范攻击者的入侵行为。以下是防范挖矿木马僵尸网络的方法。1）避免使用弱密码服务器登录账户和开放端口上的服务（如MySQL服务）应使用强密码。规模庞大的僵尸网络拥有完备的弱密码暴力破解模块，避免使用弱密码可以有效防范僵尸网络发起的弱密码暴力破解。2）及时打补丁通常，在大部分漏洞细节公布之前，相应厂商就会推送相关补丁。因此，及时为系统和相关服务打补丁可有效避免攻击。3）服务器定期维护挖矿木马一般会持久化驻留在服务器中，若未能定期查看服务器状态，则其很难被发现。因此，应定期维护服务器，包括查看服务器操作系统CPU使用率是否异常、是否存在可疑进程、任务计划中是否存在可疑项等。

如何判断遭遇挖矿木马判断是否遭遇挖矿木马，通常采用以下3种方法。（1）被植入挖矿木马的计算机会出现CPU使用率飙升、系统卡顿、部分服务无法正常运行等现象。（2）通过服务器性能监测设备查看服务器性能，从而判断异常。（3）挖矿木马会与矿池地址建立连接，可通过查看安全监测类设备告警判断。

实施以上排查分析流程，在确认了挖矿木马程序或文件后，需及时进行清除加固，防止再次感染。（1）封堵矿池地址。挖矿程序有外连行为，应用安全设备阻断矿池地址，防止用户对外通信。（2）清理任务计划、禁用可疑用户。任务计划的作用是定时启动挖矿程序或更新代码，所以如果确认了挖矿任务计划，应及时清理。由挖矿木马程序创建的用户，可能作为攻击跳板或用作其他攻击操作，当确认为异常用户后，需及时禁用或删除。（3）结束异常进程。大多数挖矿木马的表象特征为占用CPU资源

资源过高，所以当确认为挖矿木马后，应及时结束进程。（4）清除挖矿木马。结束进程并不代表挖矿木马就不会再运行，需要找到对应进程文件及其相关联的脚本文件一并删除。（5）全盘杀毒、加固。实施以上操作后，仍需继续观察是否还有反复迹象，是否还有进程或任务计划没有清理干净。使用杀毒软件全盘杀毒，并对系统、应用做安全加固。删除挖矿木马利用的漏洞，防止系统再次“中招”。