檢測惡意挖礦活動的方法有哪些？

惡意挖礦造成的最直接的影響就是耗電，造成網絡擁堵。檢測惡意挖礦活動可以使用以下方法：

• “肉眼”排查或經驗排查法

  由于挖礦程序通常會占用大量的系統資源和網絡資源，所以結合經驗是快速判斷企業內部是否遭受惡意挖礦攻擊的最簡易手段。

  通常企業機構內部出現異常的多臺主機卡頓情況并且相關主機風扇狂響，在線業務或服務出現頻繁無響應，內部網絡出現擁堵，在反復重啟，并排除系統和程序本身的問題后依然無法解決，那么就需要考慮是否感染了惡意挖礦程序。

• 技術排查法

  • 進程行為

    通過top命令查看CPU占用率情況，并按C鍵通過占用率排序，查找CPU占用率高的進程。

  • 網絡連接狀態

    通過netstat -anp命令可以查看主機網絡連接狀態和對應進程，查看是否存在異常的網絡連接。

  • 自啟動或任務計劃腳本

    查看自啟動或定時任務列表，例如通過crontab查看當前的定時任務。

  • 相關配置文件

    查看主機的例如/etc/hosts，iptables配置等是否異常。

  • 日志文件

    通過查看/var/log下的主機或應用日志，例如這里查看/var/log/cron*下的相關日志。

  • 安全防護日志

    查看內部網絡和主機的安全防護設備告警和日志信息，查找異常。

    通常在企業安全人員發現惡意挖礦攻擊時，初始的攻擊入口和腳本程序可能已經被刪除，給事后追溯和還原攻擊過程帶來困難，所以更需要依賴于服務器和主機上的終端日志信息以及企業內部部署的安全防護設備產生的日志信息。

回答所涉及的環境：聯想天逸510S、Windows 10。