挖矿主要依靠GPU挖掘,挖掘的是虚拟币,需要获取服务器权限。
判断是否挖矿:CPU/GPU占用的百分比如果异常;获取挖矿样本文件,进行分析是否真的有挖矿,对样本文件中的域名(远程服务器)进行提取,再进行清理后门,最后分析对方攻击行为(通过查看服务器开放哪些服务进行确定从哪里攻入的),修复漏洞,对攻击者进行画像。
挖矿用挖矿脚本挖掘,在这一个同级目录中,会存在一个配置文件,里面有挖矿的地址,钱包的地址等,将这个挖矿的远程服务器地址放到威胁情报中去分析,可能会分析出矿池之类的字眼。
在windows中,可以通过查看某个进程占用的cpu来确定是否为挖矿脚本,进一步用微步在线分析;
在linux中,采用top命令查看进程占用cpu情况,然后find / -name xxx ,查看脚本文件,然后通过该脚本文件采用微步在线进行分析;
清理后门后,找到攻击者画像:对于后门的分析,可以使用河马查杀等,然后对照相关后门在日志中的访问情况,可以大致确定出哪个ip地址频繁访问,并且访问时间和后门上传时间接近,就可以基本确定攻击的ip地址;如果服务器上没有开放web服务,如果开放了其他服务,比如远程3389开放,这个时候就可以查看计算机管理/安全/日志 进行查看审核成功/失败的时间节点,如果远程登录成功了,就会显示审核成功,如果失败,就会显示审核失败,如果出现大量审核失败,则说明一直在爆破账号密码。
攻击者为了放置挖矿脚本被kill或者重启不运行,可能将该进程加入到了定时任务(linux)或者计划任务(windows)或者启动项中,所以还需要查看一下启动项/定时任务是否有挖矿程序。