25
2023
07

内网服务器挖矿怎么整改?接到上级部门通告有挖矿木马如何处理?

电脑一旦被安装了挖矿程序,会带来很多危害:占用大量的电力和运算资源、拖慢机器、感染局域网内的其他终端......所以,挖矿行为目前是被各级部门明令禁止的,一旦被上级部门检测到有挖矿行为,很可能会被阻止互联网接入直至整改完成。当接到上级部门通告时,作为网管人员需要怎样去处置解决这个问题呢?

被上级部门检测到,一般存在如下三种情况:

  1. 访问了矿池或者虚拟货币服务器的目标IP

  2. 访问了“挖矿”域名(HTTP/HTTPS)

  3. 查询了“挖矿”域名(DNS)

挖矿的整改主要靠电脑杀毒或者重新安装系统。但是,上级部门只能检测到局域网总出口的IP地址,并不能识别终端的IP地址。当网内的终端数量比较多时,每台电脑做病毒查杀的工作量可能会很大。更加合理的方案是在内网部署一台入侵检测系统,通过对网络数据包进行分析检测,从而发现问题主机。在本文中,我将以“WSG上网行为管理”为例,来介绍如何进行内网的挖矿木马检测。


WSG上网行为管理中内置了“入侵防御”和“木马检测”这两个安全防护模块,这两个模块会对网络中的数据通信进行检测还原,匹配其中的木马特征,一旦匹配到特征时就触发告警和阻断。如下图:

202212151671085711364298.png

202212151671086404473521.png

WSG上网行为管理有内置的网址库、应用特征库和入侵防御特征库,其中入侵防御特征库是基于snort的,木马检测分为以下几个大类:

  1. indicator-compromise: 检测内网被恶意软件感染的终端。

  2. indicator-obfuscation: 恶意软件的模糊特征检测。

  3. indicator-scan: 检测恶意软件的扫描行为。

  4. indicator-shellcode:检测shellcode的执行特征。

  5. malware-backdoor:检测后门端口的通讯特征。 如果某个恶意软件打开一个端口并等待其控制功能的传入命令,则会出现此类检测。

  6. malware-cnc:此类别包含已识别的僵尸网络流量的已知恶意命令和控制活动。

  7. malware-tool:此类别包含处理本质上可被视为恶意工具的规则。


木马检测模块还可以检测各种挖矿、后门、病毒等各种木马特征。如下图:

202212151671087494140907.png

一旦检测到挖矿木马后,会在“木马检测”的“检测记录”中,记录检测的IP地址等信息,从而您可以根据IP地址去定位实际的电脑。然后对这台电脑进行查杀整改。


« 上一篇 下一篇 »