近期相关安全机构的监测报告显示互联网上各类挖矿病毒感染依然严重。“挖矿”病毒严重消耗电脑的运行能力和电力,同时还将伺机向局域网内其他设备蔓延,甚至造成主机被非法控制、数据泄露或感染勒索病毒。病毒一般由用户下载运行不安全的软件引入、或通过带有弱口令的主机ssh、ftp、telnet等远程登录服务侵入。服务器、个人电脑、手机均可能感染“挖矿”病毒。为避免对我校正常教学和生活造成影响,请校园网用户积极做好防范工作。
一、Windows系统排查
对于安装Windows操作系统的电脑,请及时更新系统补丁并开启系统防火墙。由于“挖矿”病毒具有较强的存活能力,建议直接安装360、火绒等杀毒软件进行查杀。
一旦发现感染病毒,为避免查杀病毒不完全,建议直接进行电脑全盘格式化、重装系统。防止反复出现“挖矿”行为,导致问题严重性升级。
二、Linux/Mac系统排查
1. 使用GScan工具排查
使用GScan脚本,可以根据checklist 自动检测服务器异常行为,包括病毒、后门、隐藏进程、境外连接、账号安全和系统权限(下载地址见附件。GScan为安全检测工具,下载后可能被360安全软件误报为包含木马病毒,请放心使用)。
(1)执行python程序,命令为python GScan.py;
(2)执行完成后,进入log目录,查看gscan.log可以检查扫描结果。
2. 自行排查
(1)排查是否存在CPU或内存使用率异常高的进程,排查启动项、计划任务等,使用netstat命令查看是否存在不正常的网络连接,top命令检查可疑进程,pkill命令杀死异常进程;
(2)如果进程还存在,说明有定时任务或开机启动进程, 使用/var/spool/cron/root 、/etc/crontab 和/etc/rc.local检查;
(3)找到可疑程序的位置将其删除。如果删除不掉,可查看隐藏权限,使用lsattr、 chattr命令修改程序权限后再将其删除。
一旦发现感染病毒,为避免查杀病毒不完全,建议直接进行电脑全盘格式化、重装系统。防止反复出现“挖矿”行为,导致问题严重性升级。
三、手机“挖矿”清理
手机无端出现卡顿、发热、死机,可能是恶意应用在挖矿。手机挖矿病毒以正常应用为伪装,使用矿池提供的浏览器脚本进行挖矿。日常应避免下载来源不明的手机应用。
四、浏览器“挖矿”清理
恶意网站在网页植入挖矿木马,用户浏览器访问被植入的网页后即刻执行挖矿指令,沦为僵尸矿机,无偿为木马植入者提供算力,间接为其生产虚拟货币。针对浏览器类型“挖矿”,应避免访问不可信的网站,如色情、广告、钓鱼网站等,并定期清理电脑中各种浏览器的缓存文件。
五、“挖矿”木马如何防范
(1)安装正版操作系统,及时更新操作系统补丁。
(2)安装杀毒软件并及时更新,定期扫描个人电脑或者服务器。
(3)定期检查系统安全日志,查看是否存在异常。
(4)登录口令要有足够的长度和复杂性,并定期更换。
(5)从官网下载安装软件,不安装未知来源的第三方软件。
(6)不点击来源不明的链接、文件、邮件附件等。
(7)个人电脑不随意接入他人的U盘、移动硬盘。
(8)开启服务器防火墙白名单,仅允许授权IP地址访问。
(9) 避免使用远程控制类软件,非必要不通过远程手段连接个人电脑或服务器。
(10) 对所有下载、拷贝文件做到“先杀毒,再使用”,重要文件务必做好备份。
(11)规范自身行为,不访问不良网站,不安装不良应用软件。
(12)对已停止使用或已废弃的电脑和服务器关机、断网、断电。
(13)科研、教学、管理等核心数据等重要文件务必做好备份。
网络与信息中心
2022年3月9日