挖矿病毒的主要危害是占用CPU进行超频运算,导致CPU100%跑满。挖矿程序还会通过内网渗透其他主机,并在被入侵的服务器上长期驻留。
挖矿程序具有联动作用,处理不及时或清理不干净会导致挖矿病毒反复发生、出现恶意脚本替换系统命令,从而导致执行系统命令时触发恶意脚本执行(例如:xorddos)。因此,需要在挖矿程序的一个执行周期内,尽快将被入侵服务器上的木马程序和持续化后门清理干净,否则容易导致挖矿病毒频繁复发。
云技术在线提供挖矿病毒查杀服务。
云安全中心用户如何处理挖矿程序
说明 基础杀毒版、高级版和企业版才支持对您服务器中的挖矿程序进行处理。免费版仅支持安全告警检测,不支持安全告警处理。
- 在安全告警列表中通过搜索定位到挖矿程序,并单击操作列处理。
当出现挖矿事件时,云安全中心会产生挖矿程序的告警事件。
- 对确认需要查杀的挖矿程序,选中病毒查杀、隔离该进程的源文件并单击立即处理,防止该程序再次启动。
- 对挖矿事件产生的其他衍生告警(例如:矿池通信行为),执行阻断操作。
云安全中心通过生成对应的策略防止服务器访问矿池,确保您有充足的时间对安全事件进行处理。
- 查看进程行为异常告警,确认是否存在异常的计划任务。
- 开启病毒拦截功能。
针对无法及时清理服务器上残留的挖矿程序或清理不干净导致复发的情况,云安全中心提供的病毒拦截功能可对挖矿程序进行精准拦截,在事前抑制挖矿事件的发生。
您还可以通过云安全中心提供的入侵溯源功能,详细了解挖矿程序入侵的过程和链路。
非云安全中心用户如何处理挖矿程序
挖矿程序为了最大程度获取利益,会存放大量的持久化后门,导致病毒杀不死或难以清理。
如果您在未购买云安全中心服务的情况下遇到挖矿病毒,可以采取如下措施排查和处理(本操作以Linux系统为例):
- 检查您服务器的防火墙中是否存在挖矿程序的矿池地址。
- 执行以下命令查看是否存在业务范围之外的可疑通信地址和开放端口。
iptables -L -n
- 执行以下命令清除恶意矿池地址。
vi /etc/sysconfig/iptables
- 执行以下命令查看是否存在业务范围之外的可疑通信地址和开放端口。
- 执行以下命令排查是否存在定时任务。
crontab -l
您可以根据排查的结果,对可疑的定时任务文件进行处理,防止二次入侵。
- 执行以下命令检查SSH公钥中是否存在挖矿病毒,防止出现持续后门。
cat .ssh/authorized_keys