当前网络安全问题日益突出,主机被用于挖矿成为一大困扰。早在2018年RSA大会上,Johannes Ullrich就提出了辨别主机是否参与挖矿的方法。然而,在实际操作中,仍有许多技巧和窍门。接下来,我将为大家逐一阐述。
挖矿判断初步认知
2018年RSA大会的讨论中,Johannes Ullrich提到,通过观察CPU负载、网络流量和主机温度等指标,可以判断主机是否在进行挖矿活动。这种说法听起来很有道理。确实,CPU使用率高是判断挖矿行为的关键一步。比如,如果电脑突然变得反应迟缓,CPU使用率持续上升,我们就会怀疑它可能正在挖矿。
不能只看CPU的使用率,这并不能完全确认机器正在挖矿。比如网页挖矿,为了不被察觉,常常会将CPU的使用率调得很低。记得有一次我在网上浏览论坛,电脑CPU的占用率突然升高,后来检查发现并非挖矿,幸好只是一场虚惊。
网络流量判断办法
CPU的使用率不太准确,所以咱们换个方法,通过观察网络流量特征来进行判断。无论是挖矿木马还是网页挖矿,都会在网络流量中留下痕迹。我们可以使用命令或软件来捕捉数据包,分析其中的TCP连接所携带的负载。
若多个数据包接连满足stratum协议的json负载特征,则可推断主机正在进行挖矿活动。例如,通过抓包工具观察数据时,若发现大量数据符合特定协议标志,那么基本可以判断主机正在挖矿。不久前,我在帮朋友检查电脑问题时,就是用这种方法发现了电脑在挖矿。
华为云主机应对之法
使用华为云主机时,有两种方法可以阻止挖矿通信。首先,可以通过安全组进行设置,这采用白名单模式。通常情况下,华为云的安全组只允许22端口和3389端口被访问。若主机正在挖矿,则表明安全组的开放范围过于广泛。我们只需根据需要保留必要的端口,并移除any策略,这样挖矿活动就无法继续。
网络中存在ACL,它通常是关闭状态。我们需要设立新的ACL,并将其关联到负责挖矿的主机所使用的网络区域。ACL默认对进出方向的所有连接予以拒绝,且无法修改规则。为了避免影响云主机的应用,我们可以在两个方向上设置全局开放策略,同时在入方向上添加一项阻止黑名单IP通过的规则。我有一位同事就是通过这种方法解决了云主机挖矿的问题。
查看CPU应对网页挖矿
浏览网页时,要注意观察CPU的占用情况。若发现CPU使用率突然大幅上升,且主要是由浏览器引起的,那么网页可能已经植入了挖矿脚本。遇到这种情况,关闭网页即可解决问题。我之前在网上浏览新闻时,电脑突然变得非常卡顿,查看CPU使用率后,发现原来是网页中嵌入了挖矿脚本。
某些浏览器提供免费插件,可以阻止网站进行浏览器挖矿,比如Chrome的MinerBlock插件,安装后即可直接使用,无需额外设置。一旦网站进行挖矿,插件会发出提示并予以阻止。我的一个朋友就是通过安装这样的插件,成功解决了网页挖矿的问题。
手工删除挖矿程序要点
手动移除挖矿软件挺复杂的,需要先定位到挖矿进程,接着删除相关软件、服务、自启动项和可疑账户等,这通常需要专业安全人员协助。前些日子,公司的电脑遭到了挖矿攻击,我自己无法解决,最终只得请了专业人士来处理。
如果主机管理员具备较高的安全警惕性,对主机进行基础的安全强化,那么主机被用于挖矿的风险便会减少。这包括定期更换密码、及时修补系统漏洞等措施。
防范挖矿全面建议
日常需对服务器进行周期性保养,需关注CPU占用、进程活动、服务状态及账户安全等方面,以确认是否存在持续的挖矿恶意软件。若每周进行一次检查,便能及早发现潜在问题。
主机安全设置需根据实际需求来定,管理端口最好不要向所有IP开放,以免给黑客留下可乘之机。你是否遭遇过主机被用于挖矿的情况?欢迎在评论区分享你的遭遇。觉得这篇文章有帮助,别忘了点赞和转发。
发表评论