挖矿病毒的主要危害是占用CPU进行超频运算,导致CPU100%跑满。挖矿程序还会通过内网渗透其他主机,并在被入侵的服务器上长期驻留。
挖矿程序具有联动作用,处理不及时或清理不干净会导致挖矿病毒反复发生、出现恶意脚本替换系统命令,从而导致执行系统命令时触发恶意脚本执行(例如:xorddos)。因此,需要在挖矿程序的一个执行周期内,尽快将被入侵服务器上的木马程序和持续化后门清理干净,否则容易导致挖矿病毒频繁复发。
云技术在线提供挖矿病毒查杀服务。
前往购买:云安全中心
云安全中心用户如何处理挖矿程序
说明 基础杀毒版、高级版和企业版才支持对您服务器中的挖矿程序进行处理。免费版仅支持安全告警检测,不支持安全告警处理。
- 查看进程行为异常告警,确认是否存在异常的计划任务。
- 开启病毒拦截功能。
针对无法及时清理服务器上残留的挖矿程序或清理不干净导致复发的情况,云安全中心提供的病毒拦截功能可对挖矿程序进行精准拦截,在事前抑制挖矿事件的发生。
您还可以通过云安全中心提供的入侵溯源功能,详细了解挖矿程序入侵的过程和链路。
非云安全中心用户如何处理挖矿程序
挖矿程序为了最大程度获取利益,会存放大量的持久化后门,导致病毒杀不死或难以清理。
如果您在未购买云安全中心服务的情况下遇到挖矿病毒,可以采取如下措施排查和处理(本操作以Linux系统为例):
- 检查您服务器的防火墙中是否存在挖矿程序的矿池地址。
- 执行以下命令查看是否存在业务范围之外的可疑通信地址和开放端口。
iptables -L -n
- 执行以下命令清除恶意矿池地址。
vi /etc/sysconfig/iptables
- 执行以下命令查看是否存在业务范围之外的可疑通信地址和开放端口。
- 执行以下命令排查是否存在定时任务。
crontab -l
您可以根据排查的结果,对可疑的定时任务文件进行处理,防止二次入侵。
- 执行以下命令检查SSH公钥中是否存在挖矿病毒,防止出现持续后门。
cat .ssh/authorized_keys