@爆米花
2年前 提问
1个回答

检测恶意挖矿活动的方式有哪几种

安全侠
2年前

恶意挖矿,就是在用户不知情或未经允许的情况下,占用用户终端设备的系统资源和网络资源进行挖矿,从而获取虚拟币牟利。可以通过以下方式判断是否感染恶意挖矿程序:

  • “肉眼”排查或经验排查法

    由于挖矿程序通常会占用大量的系统资源和网络资源,所以结合经验是快速判断企业内部是否遭受恶意挖矿攻击的最简易手段。

    通常企业机构内部出现异常的多台主机卡顿情况并且相关主机风扇狂响,在线业务或服务出现频繁无响应,内部网络出现拥堵,在反复重启,并排除系统和程序本身的问题后依然无法解决,那么就需要考虑是否感染了恶意挖矿程序。

  • 技术排查法

    • 进程行为

      通过top命令查看CPU占用率情况,并按C键通过占用率排序,查找CPU占用率高的进程。

    • 网络连接状态

      通过netstat -anp命令可以查看主机网络连接状态和对应进程,查看是否存在异常的网络连接。

    • 自启动或任务计划脚本

      查看自启动或定时任务列表,例如通过crontab查看当前的定时任务。

    • 相关配置文件

      查看主机的例如/etc/hosts,iptables配置等是否异常。

    • 日志文件

      通过查看/var/log下的主机或应用日志,例如这里查看/var/log/cron*下的相关日志。

    • 安全防护日志

      查看内部网络和主机的安全防护设备告警和日志信息,查找异常。

      通常在企业安全人员发现恶意挖矿攻击时,初始的攻击入口和脚本程序可能已经被删除,给事后追溯和还原攻击过程带来困难,所以更需要依赖于服务器和主机上的终端日志信息以及企业内部部署的安全防护设备产生的日志信息。

以下提出几点安全建议让个人用户避免感染恶意挖矿程序:

  • 提高安全意识,从正常的应用市场和渠道下载安装应用程序,不要随意点击和访问一些具有诱导性质的网页;

  • 及时更新应用版本,系统版本和固件版本;

  • 安装个人终端安全防护软件。