挖矿木马应急响应指南
1.初步预判
判断是否真实遭遇挖矿木马
- 被植入挖矿木马的计算机会出现 CPU 使用率飙升、系统卡顿、部分服务无法正常运行等现象
- 查看天眼的流量分析,是否去别的有危险的网站下载东西,然后在本地执行了挖矿的一些命令
- 挖矿木马会与矿池地址建立连接,看哈是否有外连,向远程ip的请求
netstart -ano查看所有端口
挖矿木马信息挖掘
查看挖矿木马文件创建时间,查看任务计划创建时间,查看矿池地址,可通过安全监测类设备查看第一次连接矿池地址的时间
判断挖矿木马传播范围
可以利用安全监测类设备查看挖矿范围
了解网络部署环境
网络架构、主机数据、系统类型、相关安全设备(如流量设备、日志监测)等
2.隔离被感染的服务器/主机
在发现挖矿现象后,在不影响业务的前提下应及时隔离当前服务器/主机,如禁用非业务使用端口、服务,配置 ACL 白名单,非重要业务系统建议先下线隔离,再做排查