随着虚拟货币市场的繁荣,挖矿病毒已成为网络安全领域一大挑战。该类病毒利用计算机资源进行加密货币的挖掘,给个人用户和企业网络带来了严重的安全风险。本文将针对挖矿病毒的应急响应和防范措施进行分析和总结。
一.判断挖矿病毒
服务器突然发现CPU资源被大量占用,导致程序启动缓慢,服务器性能严重下降。
二.应急响应思路
1.断网隔离被感染的服务器/主机,防止成为跳板机。
2、检查异常端口、进程
检查端口连接情况,是否有远程连接、可疑连接。
- netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED
- 根据netstat 定位出的pid,再通过tasklist命令进行进程定位 tasklist | find “PID”
进程
- 任务管理器 Ctrl + Shift + Esc
- 运行命令提示符(cmd)中输入
taskmgr并按下 Enter 键即可打开任务管理器。 - 打开D盾_web查杀工具,进程查看,关注没有签名信息的进程。
3.清除挖矿病毒
- 关闭异常进程 taskkill -t -f / pid 结束进程
- 删除挖矿病毒程序
4.检查启动项、计划任务、服务
检查服务器是否有异常的启动项。
-
登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。
-
单击开始菜单 >【运行】,输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。
-
利用安全软件查看启动项、开机时间管理等。
检查计划任务
-
单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属性
-
单击【开始】>【运行】;输入 cmd,然后输入at,检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。
服务自启动
-
检查方法:单击【开始】>【运行】,输入services.msc,注意服务状态和启动类型,检查是否有异常服务。
三.防范措施
新型挖矿攻击展现出了蠕虫般的传播特性,结合了高级攻击技术,因此需要采取多层次的防范措施:
1. 安装安全软件并升级病毒库:及时安装更新安全软件,保持病毒库的最新状态,定期进行全盘扫描,保持实时防护能力。
2. 及时更新系统和应用程序补丁:安装最新的Windows安全补丁,及时修补系统和应用程序的漏洞,以防止挖矿病毒利用已知漏洞进行感染。
3. 加强网络安全配置:开启防火墙,合理配置网络安全策略,临时关闭不必要的端口,限制对系统的远程访问,减少攻击面。
4. 定期备份重要数据:定期备份重要数据,并将备份数据存储在安全可靠的位置,以防止挖矿病毒对数据造成损坏或丢失。
通过以上应急响应和防范措施,可以有效应对挖矿病毒的攻击,保障个人用户和企业网络的安全。
