挖矿程序处理

挖矿程序的特征

挖矿程序会占用CPU进行超频运算，导致CPU严重损耗，并且影响服务器上的其他应用。

挖矿程序还具备蠕虫化特点，当安全边界被突破时，挖矿病毒会向内网渗透，并在被入侵的服务器上持久化驻留以获取最大收益。

挖矿程序具有联动作用，在清理过程中会存在处理不及时或清理不干净导致挖矿病毒反复发生、出现恶意脚本替换系统命令，从而导致执行系统命令时触发恶意脚本执行（例如：xorddos）。因此，需要在挖矿程序的一个执行周期内，尽快将被入侵服务器上的木马程序和持续化后门清理干净，否则容易导致挖矿病毒频繁复发。

如何判断资产中是否存在挖矿威胁

如果您服务器的CPU使用率明显升高，例如达到80%以上，并且出现未知进程持续向外发送网络包的情况，可以判定您的服务器中存在挖矿威胁。详细内容，请参见如何判断资产中是否存在挖矿威胁？。

云安全中心用户处理挖矿程序

登录云安全中心控制台安全告警页面。

在安全告警列表中定位到挖矿程序，单击操作列的处理。

当出现挖矿事件时，云安全中心会产生挖矿程序的告警事件。

对确认需要查杀的挖矿程序，选中病毒查杀、隔离该进程的源文件并单击立即处理，防止该程序再次启动。

对挖矿事件产生的其他衍生告警（例如：矿池通信行为），执行阻断操作。

云安全中心通过生成对应的策略防止服务器访问矿池，确保您有充足的时间对安全事件进行处理。

查看进程行为异常告警，确认是否存在异常的计划任务。

计划任务

开启病毒拦截功能。

针对无法及时清理服务器上残留的挖矿程序或清理不干净导致复发的情况，云安全中心提供的病毒拦截功能可对挖矿程序进行精准拦截，在事前抑制挖矿事件的发生。如何开启病毒拦截功能，请参见主动防御。病毒查杀拦截挖矿程序

您可以使用云安全中心的病毒防护功能，随时扫描并清理隐藏在主机中的恶意文件。具体操作，请参见扫描病毒。

您还可以通过云安全中心提供的入侵溯源功能，详细了解挖矿程序入侵的过程和链路。攻击溯源

非云安全中心用户处理挖矿程序（Linux系统）

挖矿程序为了最大程度获取利益，会存放大量的持久化后门，导致病毒杀不死或难以清理。

如果您在未购买云安全中心服务的情况下遇到挖矿病毒，可以采取如下措施排查和处理。

执行以下命令查看挖矿进程的执行文件链接。

ls -l /proc/xxx/exe           // xxx表示该进程的PID。

清除挖矿进程的执行文件。

在高CPU消耗的进程中定位到挖矿进程，并杀死该进程。

检查您服务器的防火墙中是否存在挖矿程序的矿池地址。

执行以下命令查看是否存在业务范围之外的可疑通信地址和开放端口。

 iptables -L -n

查看防火墙开放IP和端口

执行以下命令清除恶意矿池地址。

 vi /etc/sysconfig/iptables

执行以下命令排查是否存在定时任务。

crontab -l

排查定时任务

您可以根据排查的结果，对可疑的定时任务文件进行处理，防止二次入侵。

执行以下命令检查SSH公钥中是否存在挖矿病毒，防止出现持续后门。

cat .ssh/authorized_keys

排查SSH授权

查看其他服务器中是否存在挖矿行为，防止挖矿病毒重复感染内网中的其他服务器。

非云安全中心用户处理挖矿程序（Windows系统）

如果您在未购买云安全中心服务的情况下遇到挖矿病毒，可以采取如下措施排查和处理。

执行以下命令，通过CPU占用情况排查可疑的挖矿进程。

 ps | sort -des cpu

 While(1) {ps | sort -des cpu | select -f 15 | ft -a; sleep 1; cls}

执行以下命令，查看挖矿进程的磁盘文件、进程启动命令的参数。

wmic process where processid=xxx get processid,executablepath,commandline,name     //xxx表进程pid

结束挖矿进程，清除挖矿文件。

执行以下命令，检查主机连接的可疑网络端口。

netstat -ano | findstr xxx            // xxx 表可疑的网络端口

执行以下命令，检查服务器中hosts文件是否存在挖矿程序的矿池地址。

type  C:\Windows\System32\drivers\etc\hosts

执行以下命令，排查是否存在挖矿程序设定的计划任务。

schtasks /query