挖矿检测

一、终端检测

1.监控资源利用率

通常挖矿木马非常消耗计算机资源,计算机被植入挖矿木马后,CPU或GPU的使用率明显高于正常使用时的数值或达到了100%。

2.排查恶意软件及进程

排查计算机中安装的可疑软件,查看任务管理器中的可疑进程。

3.网络连接状态

netstat命令查看计算机网络连接状态和对应进程,查看是否存在异常连接。

4.自启动或计划任务

查看自启动或定时任务列表,例如通过crontab查看当前的定时任务,确认是否存在异常。

5.配置文件

查看主机配置文件,例如hosts文件、iptables配置等是否异常。

6.日志文件

查看主机及应用日志。

二、校园网检测

1.关注安全设备告警信息

及时查看安全设备告警信息,如果部署有防火墙或态势感知类产品,通常能够准确的告警主机回连挖矿木马相关的IP及域名,或者准确的给出挖矿木马家族标签。

2.识别挖矿流量

基于挖矿木马的流量特征、挖矿回连域名、挖矿回连IP等信息,通过流量分析,识别挖矿行为。