快速定位挖礦木馬 ！

一、挖礦木馬是啥玩意兒？

這裡以比特幣為例，所謂“挖礦”就是，將一段時間內比特幣系統中發生的交易進行確認，並記錄在區塊鏈上，形成新的區塊，挖礦的人叫做礦工。簡單來說，挖礦就是記賬的過程，礦工是記賬員，區塊鏈就是版本。比特幣系統的記賬權利是去中心化的，也就是每個礦工都有記賬的權利，只要成功搶到記賬權，礦工就能獲得系統新生成的比特幣獎勵。從這個意義上來說，挖礦就是生產比特幣的過程。

那麼挖礦木馬就是攻擊者利用各種手段將挖礦程式植入計算機中，利用其計算機的算力進行挖礦，從而獲取利益。

二、挖礦木馬分析

挖礦木馬最大的一個特徵就是cpu資源佔用非常高，top命令檢視cpu情況，可以看出xmr這個程式佔用cpu資源很高。

pe -ef檢視執行程式,發現tmp下存在可疑檔案。

木馬執行後釋放的檔案

木 馬 樣 本 部 分 截 圖

獲 取 到 木 馬 樣 本 後 我 們 可 以 借 助 一 些 分 工 具 或 平 臺 對 樣 本 分 析 。

通 過 樣 本 分 析 ， 此 挖 礦 木 馬 會 釋 放 文 件 到 / u s r / . w o r k / 和 t m p 下 ， 創 建 計 劃 任 務 ， 向 a u t h o r i z e d _ k e y s 寫 入 自 己 的 k e y ， 並 發 起 橫 向 爆 破 等 行 為 。

三 、 挖 礦 木 馬 查 殺

將 礦 池 加 入 黑 名 單 清 除 釋 放 的 文 件 ， 刪 除 寫 入 的 密 鑰 。

檢 測 是 不 是 佔 有 C P U 資 源 接 近 1 0 0 % 以 上 的 過 程 ， 找 到 過 程 對 應 的 文 件 ， 確 認 是 不 是 屬 於 挖 掘 礦 木 馬 ， K i l l 結 束 木 馬 進 程 。

檢 測 “ / v a r / s p o o l / c r o n / r o o t ” 、 “ / v a t / s p o o l / c r o n / c r o n t a b s / r o o t / ” 等 文 件 中 是 不 是 有 惡 意 的 腳 本 下 載 命 令

四 、 挖 礦 木 馬 防 護

及 時 為 系 統 打 補 丁 。 避 免 漏 洞 攻 擊 。

安 裝 殺 毒 軟 件 防 御 挖 礦 木 馬 攻 擊 。

使 用 強 度 高 的 登 錄 密 碼 以 及 W e b 應 用 、 數 據 庫 登 錄 密 碼 ， 防 御 弱 口 令 爆 破 攻 擊 。

不 打 開 來 歷 不 明 的 文 檔 ， 以 及 帶 有 圖 片 、 文 件 夾 、 文 檔 、 音 視 頻 等 圖 標 的 文 件 。