本文以常见的挖矿程序为例,从挖矿程序的特征以及挖矿病毒处理两方面来介绍云安全中心在事前、事中、事后对挖矿事件提供的告警、拦截查杀、溯源分析等服务。

背景信息

挖矿程序会占用CPU进行超频运算,导致CPU严重损耗,并且影响服务器上的其他应用。挖矿程序还具备蠕虫化特点,当安全边界被突破时,挖矿病毒会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。

由于挖矿程序具有联动作用,在清理过程中会存在处理不及时、清理不干净导致挖矿病毒反复发生、出现恶意脚本替换系统命令从而导致执行系统命令时会触发恶意脚本执行(例如:xorddos)。因此,需要在挖矿程序的一个执行周期内,尽快将被入侵服务器上的木马程序和持续化后门清理干净,否则容易导致挖矿病毒频繁复发。

有关如何判断资产中是否存在挖矿威胁的介绍,请参见如何判断资产中存在挖矿威胁?

云安全中心用户处理挖矿程序

  1. 登录云安全中心控制台
  2. 在左侧导航栏单击威胁检测 > 安全告警处理
  3. 在安全告警列表中通过搜索定位到挖矿程序,并单击操作列处理
    当出现挖矿事件时,云安全中心会产生挖矿程序的告警事件。挖矿程序处理
  4. 对确认需要查杀的挖矿程序,选中病毒查杀隔离该进程的源文件并单击立即处理,防止该程序再次启动。
    病毒查杀
  5. 对挖矿事件产生的其他衍生告警(例如:矿池通信行为),执行阻断操作。
    云安全中心通过生成对应的策略防止服务器访问矿池,确保您有充足的时间对安全事件进行处理。矿池通信处理
  6. 查看进程行为异常告警,确认是否存在异常的计划任务。
    计划任务
  7. 开启病毒拦截功能。
    针对无法及时清理服务器上残留的挖矿程序或清理不干净导致复发的情况,云安全中心提供的病毒拦截功能可对挖矿程序进行精准拦截,在事前抑制挖矿事件的发生。如何开启病毒拦截功能请参见病毒查杀病毒查杀拦截挖矿程序

    您还可以通过云安全中心提供的入侵溯源功能,详细了解挖矿程序入侵的过程和链路。

    攻击溯源

非云安全中心用户处理挖矿程序

挖矿程序为了最大程度获取利益,会存放大量的持久化后门,导致病毒杀不死或难以清理。

如果您在未购买云安全中心服务的情况下遇到挖矿病毒,可以采取如下措施排查和处理:

  1. 查看挖矿进程的执行文件链接。
    ls -l /proc/xxx/exe           // xxx表示该进程的PID。
  2. 清除挖矿进程的执行文件。
  3. 在高CPU消耗的进程中定位到挖矿进程,并杀死该进程。
  4. 检查您服务器的防火墙中是否存在挖矿程序的矿池地址。
    1. 执行以下命令查看是否存在业务范围之外的可疑通信地址和开放端口。
       iptables -L -n
      查看防火墙开放IP和端口
    2. 执行以下命令清除恶意矿池地址。
       vi /etc/sysconfig/iptables
  5. 执行以下命令排查和处理定时任务,防止二次入侵。
    crontab -l
    排查定时任务
  6. 执行以下命令检查SSH公钥中是否存在挖矿病毒,防止出现持续后门。
    cat .ssh/authorized_keys
    排查SSH授权
  7. 查看其他服务器中是否存在挖矿行为,防止挖矿病毒重复感染内网中的其他服务器。