检测恶意挖矿活动的方法有哪些？

恶意挖矿造成的最直接的影响就是耗电，造成网络拥堵。检测恶意挖矿活动可以使用以下方法：

• “肉眼”排查或经验排查法

  由于挖矿程序通常会占用大量的系统资源和网络资源，所以结合经验是快速判断企业内部是否遭受恶意挖矿攻击的最简易手段。

  通常企业机构内部出现异常的多台主机卡顿情况并且相关主机风扇狂响，在线业务或服务出现频繁无响应，内部网络出现拥堵，在反复重启，并排除系统和程序本身的问题后依然无法解决，那么就需要考虑是否感染了恶意挖矿程序。

• 技术排查法

  • 进程行为

    通过top命令查看CPU占用率情况，并按C键通过占用率排序，查找CPU占用率高的进程。

  • 网络连接状态

    通过netstat -anp命令可以查看主机网络连接状态和对应进程，查看是否存在异常的网络连接。

  • 自启动或任务计划脚本

    查看自启动或定时任务列表，例如通过crontab查看当前的定时任务。

  • 相关配置文件

    查看主机的例如/etc/hosts，iptables配置等是否异常。

  • 日志文件

    通过查看/var/log下的主机或应用日志，例如这里查看/var/log/cron*下的相关日志。

  • 安全防护日志

    查看内部网络和主机的安全防护设备告警和日志信息，查找异常。

    通常在企业安全人员发现恶意挖矿攻击时，初始的攻击入口和脚本程序可能已经被删除，给事后追溯和还原攻击过程带来困难，所以更需要依赖于服务器和主机上的终端日志信息以及企业内部部署的安全防护设备产生的日志信息。