如何防范“挖礦”？ - 網安 - 專業的網絡安全產業、社區、知識平臺

什么是虛擬貨幣？

虛擬貨幣以數字化形式存在于網絡世界中，它不是真正意義上的貨幣，不具有法償性和強制性等貨幣屬性，也不具有與貨幣等同的法律地位，不能且不應作為貨幣在市場上流通使用，投資和交易虛擬貨幣的行為也不受法律保護。

虛擬貨幣“挖礦”活動，是指通過專用“礦機”計算生產虛擬貨幣的過程。以比特幣為代表的虛擬貨幣，是去中心化的區塊鏈系統，需要網絡節點運行、維護，將每一特定時間的交易信息打包上鏈，從而獲得系統發行的虛擬貨幣作為獎勵。

運行這些網絡節點的個人或機構被稱為“礦工”，這些計算節點則被稱為“礦機”。“礦工”通過購買專用計算機設備競爭交易信息記錄上鏈的權力，并向整個區塊鏈系統播報，俗稱為“挖礦”。

“挖礦”不僅消耗大量計算資源，使系統、軟件、應用服務運行緩慢，甚至還可能使系統崩潰，造成數據丟失。

“挖礦”還會造成大量的能源消耗和碳排放，違背新發展理念，不利于國家碳達峰、碳中和目標的實現。

個人電腦或服務器一旦被“挖礦”程序控制，則會造成數據泄露或感染病毒，容易引發網絡安全問題。

虛擬貨幣使用匿名進行交易，擾亂正常的金融秩序，往往成為洗錢、非法轉移資產等違法犯罪活動的工具。

2021年9月，國家發改委等十一個部門聯合發布《關于整治虛擬貨幣“挖礦”活動的通知》，要求全面排查虛擬貨幣“挖礦”行為，嚴肅查處整治違規虛擬貨幣“挖礦”活動。

2021年12月，國家發改委又修改了《產業結構調整指導目錄（2019年本）》，在淘汰類的“落后生產工藝裝備”中增加了“虛擬貨幣‘挖礦’活動”，虛擬貨幣“挖礦”活動也被正式納入淘汰類產業。

常見“挖礦”方式主要分為基于程序的“挖礦”和基于網站腳本的“挖礦”兩大類。

基于程序的“挖礦”：“挖礦”者通過上傳“挖礦”木馬程序，通過設置計劃任務或者修改系統文件權限等方式，實現“挖礦”木馬程序的持久化運行。

基于網站腳本的“挖礦”：通過JavaScript等編寫的“挖礦”腳本在瀏覽器中執行，在網站中嵌入含有“挖礦”代碼的腳本。當瀏覽器訪問帶有“挖礦”腳本的網站時，瀏覽器將解析并執行“挖礦”腳本(如Coinhive、JSEcoin等)，在后臺進行“挖礦”。這種方式更為隱蔽，也更難以被發現。

“挖礦”病毒一般由用戶下載運行不安全的軟件引入，或通過帶有弱口令的主機SSH、FTP、Telnet等遠程登錄服務侵入。

對于Windows系統，可以使用應用了最新病毒定義的殺毒軟件進行排查；對于Linux/Mac系統，則可以使用GScan工具排查和自行排查。

使用GScan腳本，可以根據checklist自動檢測服務器異常行為，包括病毒、后門、隱藏進程、境外連接、賬號安全和系統權限。（GScan為安全檢測工具，下載后可能被360安全軟件誤報為包含木馬病毒）

1.行python程序，命令為python GScan.py；

2.執行完成后，進入log目錄，查看gscan.log可以檢查掃描結果。

1.排查是否存在CPU或內存使用率異常高的進程，排查啟動項、計劃任務等，使用netstat命令查看是否存在不正常的網絡連接，top命令檢查可疑進程，pkill命令殺死異常進程；

2.如果進程還存在，說明有定時任務或開機啟動進程，使用/var/spool/cron/root、/etc/crontab和/etc/rc.local檢查；

3.找到可疑程序的位置將其刪除。如果刪除不掉，可查看隱藏權限，使用lsattr、chattr命令修改程序權限后再將其刪除。

一旦發現計算機感染病毒，為避免查殺病毒不完全，應直接進行電腦全盤格式化、重裝系統，以防止反復出現“挖礦”而導致問題嚴重性升級。

為進一步降低出現“挖礦”活動的風險，高校們紛紛提供了“挖礦”防范指南，幫助廣大師生做好日常防范。

操作系統須正版，系統補丁勤更新。

殺毒軟件不可少，使用設備常掃描。

安全日志多檢查，異常信息需警惕。

登錄口令夠復雜，不用賬號及時清。

軟件應用官方下，來源不明不安裝。

不明鏈接不點擊，移動存儲不亂接。

訪問控制需配置，無關端口可關閉。

設備不用須關機，長時聯網要避免。