前不久,挖矿持续火爆。有人半夜爆仓有人深山“挖矿”,甚至不少网吧都变为了挖矿根据地。腾讯安全反病毒实验室还曾发现一木马在网吧环境中迅速传播,攻入受害机器后运行挖矿程序获利。对于有些网吧软件偷偷挖矿,该如何防范、排查以及解决呢?
1、关于防范
坚决不使用小作坊、论坛、网盘流传的的去广告程序、破解版文化软件、某VIP特权软件。尤其是影视VIP类的。如有合理诉求可以花钱、或者找你们当地圈子比较靠谱的人。不定期更换服务器远程密码、关闭局域网高危端口、客户机系统的安全更想需要注意“高危的安全更新、浏览器远程执行漏洞更新”。
2、关于确认
从上述信息了解到,如果是挖矿程序他必定有2个特征。1、占用资源(CPU或GPU)2、连接矿池(矿池IP一般是国外IP),所以我们的思路就是看资源占用以及网络连接。
3、关于解决办法
(1)、使用网维大师进程禁止功能禁止相关程序。
(2)、路由器封掉这些IP地址信息。
(3)、可以从路由屏蔽掉各个矿池域名。
【案例分享】
客户机内有占用资源程序,并且路由器显示这台机器有连接挖矿矿池(碧海云盒、PA、流控大师都有此功能)。
【排查方法1】
(1)、先在路由器里确认连接的矿池IP、以及端口号,例如图1中192.168.0.162里面连接了一个172.104.76.21IP地址,并且端口是20581。
(2)、然后在客户机开始——运行——输入netstat -an看下当前客户机连接20581端口以及IP。
(3)、再输入netstat -an查看20581对应的PID信息。
(4)、在这台机器打开矿池平台页面,使用nslookup命令查看当前机器解析IP。
(5)、定位到PID信息后,再使用ProcessMonitor程序开机查找进程来源,操作方法为开机启动ProcessMonitor软件,最小化启动且没有对话窗口的参数为/Minimized /AcceptEula /Quiet,例如:C:\ProcessMonitor.exe /Minimized /AcceptEula /Quiet。推荐是创建一个快捷方式,然后把参数输入好了以后放启动位子,不要使用开机命令。因为启动太晚的话就没效果了。