排查方法
挖矿病毒被植入主机后,利用主机的运算力进行挖矿,主要体现在CPU使用率高达90%以上,有大量对外进行网络连接的日志记录。
Linux主机中挖矿病毒后的现象如下图所示:
Windows主机中挖矿病毒后的现象如下图所示:
处置方法
一旦发现主机或服务器存在上述现象,则极有可能已经感染了挖矿病毒。可以通过以下步骤来删除病毒:
(一)Windows系统
1、对恶意程序进行清除操作,由于挖矿木马具有很强存活能力,不建议手工查杀,建议使用杀毒软件对主机进行全盘扫描和查杀,如无法清除的建议重新安装系统及应用;
2、在防火墙关闭不必要的映射端口号或服务,重启再测试是否还会有可疑进程存在;
3、对操作系统及系统相关管理界面的登录设置强密码(10位以上,大小写字母、数字及特殊字符的组合)。
(二)Linux /mac 系统
1、通过安装防病毒软件(详见附件),对主机进行全盘扫描和查杀,如无法清除的建议重新安装系统及应用;
2、如具备较强动手能力,可参照以下说明进行排查:
1)排查是否存在异常的资源使用率(内存、CPU等)、启动项、进程、计划任务等,使用相关系统命令(如netstat)查看是否存在不正常的网络连接,top 检查可疑进程,pkill 杀死进程,如果进程还能存在,说明一定有定时任务或守护进程(开机启动),检查/var/spool/cron/root 和/etc/crontab 和/etc/rc.local
2)查找可疑程序的位置将其删除,如果删除不掉,查看隐藏权限。lsattr chattr 修改权限后将其删除。
3)查看/root/.ssh/目录下是否设置了免秘钥登陆,并查看ssh_config配置文件是否被篡改。
3、在防火墙关闭不必要的映射端口号或服务,重启再测试是否还会有可疑进程存在。
4、建议系统管理员对操作系统及系统相关管理界面的登录设置强密码(10位以上,大小写字母、数字及特殊字符的组合);
防范建议
目前防范挖矿病毒的主要措施有:
1、多台机器不要使用相同的账号和口令,登录口令要有足够的长度和复杂性,并定期更换登录口令;
2、定期检查服务器是否存在异常,查看范围包括但不限于:
a)是否有新增账户、未知进程;
b)系统日志是否存在异常;
c)杀毒软件是否存在异常拦截情况;
3、定期检测电脑、服务器、WEB网站中的安全漏洞,及时更新补丁;
4、对于服务器,建议配置访问控制,仅允许授权IP访问;
5、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护;
6、从正规渠道下载安装软件,不安装未知的第三方软件,不点击未知的链接。
最后
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~
😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
2️⃣视频配套资料&国内外网安书籍、文档
① 文档和书籍资料
② 黑客技术
因篇幅有限,仅展示部分资料
3️⃣网络安全源码合集+工具包
4️⃣网络安全面试题
5️⃣汇总
所有资料 ⚡️ ,朋友们如果有需要全套 《网络安全入门+进阶学习资源包》,扫码获取~
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
