挖矿病毒处置总结
字数 2188 2025-08-20 18:17:07

挖矿病毒处置与防范全面指南

1. 加密货币与挖矿概述

加密货币是基于复杂数学加密原理的去中心化数字货币,最著名的是比特币。挖矿是通过执行工作量证明算法获取虚拟货币的过程,而挖矿木马是植入受害者计算机中利用其运算力进行挖矿的恶意代码。

挖矿方式分类

  • 组织形式
    • Solo挖矿:独立挖矿,收益独享
    • 矿池挖矿:加入矿池,收益分成
  • 用户参与方式
    • 被动型挖矿:用户不知情,收益归攻击者
    • 主动型挖矿:用户主动参与,收益归用户

2. 挖矿木马感染迹象

  • CPU使用率异常高(甚至100%)
  • 设备过热现象
  • 系统运行速度明显变慢
  • 冷却风扇频繁运转
  • 注意:部分高级挖矿木马会在CPU闲置时挖矿,用户查看资源时停止,难以察觉

3. 挖矿类型

  1. 基于浏览器的驱动式网页挖矿

    • 通过嵌入网页的JavaScript代码执行
    • 用户离开页面即停止挖矿

  2. 二进制文件的恶意挖矿

    • 全天候持续挖矿
    • 隐藏恶意进程
    • 采用多种持久化驻留手段

4. 挖矿木马传播途径

传播方式 具体手段 典型案例
钓鱼邮件 恶意附件或链接 伪造邮件诱导下载
非法网页 色情/赌博网站嵌入JS 门罗币挖矿脚本
软件捆绑 破解软件/游戏外挂 激活工具携带挖矿程序
僵尸网络 组建挖矿僵尸网络 MySQL弱口令爆破传播
漏洞利用 未修补的系统漏洞 通用漏洞扫描入侵
供应链攻击 污染软件包仓库 恶意NPM/PyPI包
浏览器插件 伪装正常插件 Archive Poster插件事件
容器镜像 污染Docker镜像 Docker Hub恶意镜像
移动存储 USB设备传播 Lemon Duck利用CVE-2017-8464

5. 挖矿病毒的危害

  1. 能源消耗:高负载运行缩短设备寿命
  2. 性能影响:业务系统中断或崩溃
  3. 僵尸网络:失陷主机被控制
  4. 数据泄露:后门程序导致信息泄露
  5. 经济损失:直接生产损失和修复成本
  6. 名誉损失:企业公信力受损

6. 挖矿病毒处置流程

6.1 异常情况确认

  1. 分析挖矿告警中的域名/IP
  2. 检查访问频率(如每分钟1次)
  3. 通过威胁情报确认矿池域名
    • 示例:donate[.]ssl.xmrig[.]com

6.2 上机排查

6.2.1 显性排查

系统用户检查

  • Linux: cat /etc/passwd | grep /bin/bash
  • Windows:
    • net users
    • lusrmgr.msc查看本地用户
    • 注册表查找克隆用户

免密用户排查(Linux)

chattr -ia /root/.ssh/authorized_keys
rm -f /root/.ssh/authorized_keys
ls -lhta /root/.ssh/

开机启动项检查

  • Linux:

    • /etc/inittab
    • /etc/rc.local
    • /etc/rc.d/rc[0~6].d
    • /etc/rc.d/init.d/

  • Windows:

    • 控制面板 > 系统与安全 > 计划任务
    • schtasks /query /tn "任务名"

系统服务检查

  • Linux: /usr/lib/systemd/system/, /etc/systemd/system/

    • systemctl stop 服务名
    • systemctl disable 服务名

  • Windows: services.msc

6.2.2 隐性排查

1. 库文件劫持检测

  • 特征:过滤ps等命令的/proc/结果
  • 检测方法:
    • 使用sysdig监控系统调用 
      rpm --import https://s3.amazonaws.com/download.draios.com/DRAIOS-GPG-KEY.public
curl -s -o /etc/yum.repos.d/draios.repo http://download.draios.com/stable/rpm/draios.repo
yum -y install kernel-devel* dkms sysdig
    • strace追踪命令加载
    • prochunter工具检测
    • 使用busybox处理: 
      ./busybox lsattr -ia /etc/ld.so.preload
./busybox chattr -ia /etc/ld.so.preload

2. 守护进程检测

  • 特征:监控并重新拉起挖矿进程
  • 示例:kthreadds(挖矿)和pdflushs(守护)

3. 命令替换检测

  • 检查pstopls等命令:
    • stat filename查看修改时间
    • md5sum filename校验哈希值
    • 使用rkhunter检查
    • RPM系统使用rpm -Va > rpm.log校验

命令替换修复步骤

rpm -qf /bin/ls  # 查询所属软件包
mv /bin/ls /tmp  # 临时移除
rpm2cpio 包名.rpm | cpio -idv ./bin/ls  # 提取正版命令
cp ./bin/ls /bin/  # 恢复

4. 挂载隐藏检测

  • 特征:挂载/proc/PID隐藏进程
  • 检测:
    • mount查看异常挂载
    • umount /proc/PID取消挂载恢复

5. 内核劫持检测

  • 检查内核模块:
    • uname -a查看编译时间
    • lsmod查看加载模块
  • 处理:移除可疑内核模块

6. 删除文件恢复

  • 通过进程找回删除文件:
    • lsof | grep deleted
    • 进入/proc/PID/fd
    • cat 序号 > 路径恢复文件
  • 使用extundelete工具: 
    yum install e2fsprogs-devel e2fsprogs gcc
wget http://downloads.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2
tar xf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4
./configure
make
make install

7. 挖矿木马防范措施

  1. 浏览器防护

    • 禁用不必要的JavaScript
    • 安装防护扩展(No Coin, MinerBlock)

  2. 系统防护

    • 从官方渠道下载软件
    • 安装终端安全防护软件
    • 定期全盘查杀

  3. 漏洞管理

    • 及时修复系统漏洞
    • 保持系统和软件更新

  4. 安全意识

    • 不点击可疑链接
    • 不安装来历不明软件
    • 警惕钓鱼邮件

  5. 容器安全

    • 使用可信容器镜像
    • 定期扫描镜像漏洞

  6. 移动存储

    • 禁用自动运行
    • 扫描外来存储设备

  7. 监控措施

    • 部署网络流量监控
    • 设置CPU使用率告警
    • 定期检查系统进程和服务
挖矿病毒处置与防范全面指南 1. 加密货币与挖矿概述 加密货币 是基于复杂数学加密原理的去中心化数字货币,最著名的是比特币。 挖矿 是通过执行工作量证明算法获取虚拟货币的过程,而 挖矿木马 是植入受害者计算机中利用其运算力进行挖矿的恶意代码。 挖矿方式分类 组织形式 : Solo挖矿:独立挖矿,收益独享 矿池挖矿:加入矿池,收益分成 用户参与方式 : 被动型挖矿:用户不知情,收益归攻击者 主动型挖矿:用户主动参与,收益归用户 2. 挖矿木马感染迹象 CPU使用率异常高(甚至100%) 设备过热现象 系统运行速度明显变慢 冷却风扇频繁运转 注意 :部分高级挖矿木马会在CPU闲置时挖矿,用户查看资源时停止,难以察觉 3. 挖矿类型 基于浏览器的驱动式网页挖矿 : 通过嵌入网页的JavaScript代码执行 用户离开页面即停止挖矿 二进制文件的恶意挖矿 : 全天候持续挖矿 隐藏恶意进程 采用多种持久化驻留手段 4. 挖矿木马传播途径 | 传播方式 | 具体手段 | 典型案例 | |---------|---------|---------| | 钓鱼邮件 | 恶意附件或链接 | 伪造邮件诱导下载 | | 非法网页 | 色情/赌博网站嵌入JS | 门罗币挖矿脚本 | | 软件捆绑 | 破解软件/游戏外挂 | 激活工具携带挖矿程序 | | 僵尸网络 | 组建挖矿僵尸网络 | MySQL弱口令爆破传播 | | 漏洞利用 | 未修补的系统漏洞 | 通用漏洞扫描入侵 | | 供应链攻击 | 污染软件包仓库 | 恶意NPM/PyPI包 | | 浏览器插件 | 伪装正常插件 | Archive Poster插件事件 | | 容器镜像 | 污染Docker镜像 | Docker Hub恶意镜像 | | 移动存储 | USB设备传播 | Lemon Duck利用CVE-2017-8464 | 5. 挖矿病毒的危害 能源消耗 :高负载运行缩短设备寿命 性能影响 :业务系统中断或崩溃 僵尸网络 :失陷主机被控制 数据泄露 :后门程序导致信息泄露 经济损失 :直接生产损失和修复成本 名誉损失 :企业公信力受损 6. 挖矿病毒处置流程 6.1 异常情况确认 分析挖矿告警中的域名/IP 检查访问频率(如每分钟1次) 通过威胁情报确认矿池域名 示例:donate[ .]ssl.xmrig[ . ]com 6.2 上机排查 6.2.1 显性排查 系统用户检查 : Linux: cat /etc/passwd | grep /bin/bash Windows: net users lusrmgr.msc 查看本地用户 注册表查找克隆用户 免密用户排查(Linux) : 开机启动项检查 : Linux: /etc/inittab /etc/rc.local /etc/rc.d/rc[0~6].d /etc/rc.d/init.d/ Windows: 控制面板 > 系统与安全 > 计划任务 schtasks /query /tn "任务名" 系统服务检查 : Linux: /usr/lib/systemd/system/ , /etc/systemd/system/ systemctl stop 服务名 systemctl disable 服务名 Windows: services.msc 6.2.2 隐性排查 1. 库文件劫持检测 : 特征:过滤 ps 等命令的 /proc/ 结果 检测方法: 使用 sysdig 监控系统调用 strace 追踪命令加载 prochunter 工具检测 使用 busybox 处理: 2. 守护进程检测 : 特征:监控并重新拉起挖矿进程 示例: kthreadds (挖矿)和 pdflushs (守护) 3. 命令替换检测 : 检查 ps 、 top 、 ls 等命令: stat filename 查看修改时间 md5sum filename 校验哈希值 使用 rkhunter 检查 RPM系统使用 rpm -Va > rpm.log 校验 命令替换修复步骤 : 4. 挂载隐藏检测 : 特征:挂载 /proc/PID 隐藏进程 检测: mount 查看异常挂载 umount /proc/PID 取消挂载恢复 5. 内核劫持检测 : 检查内核模块: uname -a 查看编译时间 lsmod 查看加载模块 处理:移除可疑内核模块 6. 删除文件恢复 : 通过进程找回删除文件: lsof | grep deleted 进入 /proc/PID/fd cat 序号 > 路径 恢复文件 使用 extundelete 工具: 7. 挖矿木马防范措施 浏览器防护 : 禁用不必要的JavaScript 安装防护扩展(No Coin, MinerBlock) 系统防护 : 从官方渠道下载软件 安装终端安全防护软件 定期全盘查杀 漏洞管理 : 及时修复系统漏洞 保持系统和软件更新 安全意识 : 不点击可疑链接 不安装来历不明软件 警惕钓鱼邮件 容器安全 : 使用可信容器镜像 定期扫描镜像漏洞 移动存储 : 禁用自动运行 扫描外来存储设备 监控措施 : 部署网络流量监控 设置CPU使用率告警 定期检查系统进程和服务