主机被挖矿攻击，怎么办？

黑客入侵主机后植入挖矿程序，挖矿程序会占用CPU进行超高运算，导致CPU严重损 耗，并且影响主机上其他应用的运行。当您的主机被挖矿程序入侵，挖矿程序可能进 行内网渗透，并在被入侵的主机上持久化驻留，从而获取最大收益。

当主机提示有挖矿行为时，请确定并清除挖矿程序，并及时对主机进行安全加固。

确定并清除挖矿程序

排查思路

以下排查思路按照“挖矿程序”入侵并驻留的地方进行逐层排查，您可以根据被挖矿 攻击的实际情况选择对应的分支进行排查。

图4-15 排查思路

操作步骤

步骤1 登录管理控制台。

步骤2 在页面左上角选择“区域”，单击 ，选择“安全与合规 > 企业主机安全”，进入 企业主机安全页面。

图4-16 企业主机安全

步骤3 排查进程异常行为，若出现主机挖矿行为，会触发HSS发送“进程异常行为”告警。

选择“入侵检测 > 事件管理”，选择“进程异常行为”，查看并处理发生的异常进程 行为告警。您可以单击“处理”，对挖矿程序进行隔离查杀。

图4-17 处理进程异常行为

步骤4 排查定时任务，大部分挖矿程序会在受感染的主机中写入定时任务，完成程序的驻 留，当您只清除挖矿程序时，定时任务会再次从主机下载挖矿进程或者直接执行挖矿 脚本，导致挖矿进程清除失败。

选择“风险预防 > 资产管理”，单击“自启动”，选择“定时任务”，查看异常定时 任务。

图4-18 排查定时任务

步骤5 排查其他自启动项，有的挖矿进程为了实现长期驻留，会向系统中添加自启动项来确 保系统重启后仍然能重新启动，因此，需要及时清除可疑的自启动项。

选择“风险预防 > 资产管理”，单击“自启动”，分别选择“自启动服务”、“预加 载动态库”、“Run注册表键”、“开启启动文件夹”，逐个排查自启动项。

图4-19 排查自启动项

步骤6 排查可疑进程信息，快速查看主机中存在的可疑应用进程，并及时终止可疑的应用进 程。

图4-20 排查可疑进程

步骤7 排查是否开放了危险或者未知端口，及时关闭危险或者未知端口。

图4-21 排查开放端口

步骤8 若通过以上手段均无法删除挖矿程序，请重装系统。

----结束

主机安全加固

挖矿程序清除后，为了保障主机安全，请及时对主机进行安全加固。

Linux加固建议

1. 使用HSS每日凌晨自动进行一次全面的检测，帮助您深度防御主机和应用方面潜 在的安全风险。详细信息请参见快速掌握主机安全态势。

2. 修改系统所有账号口令（包括系统账户和应用账户）为符合规范的强口令，或将 主机登录方式改为密钥登录彻底规避风险。

a. 设置安全口令，详细操作请参见如何设置安全的口令？。

b. 使用密钥登录主机，详细操作请参见使用私钥登录Linux主机。

3. 严格控制系统管理员账户的使用范围，为应用和中间件配置各自的权限和并严格 控制使用范围。

4. 使用安全组定义访问规则，根据业务需求对外开放端口，对于特殊业务端口，建 议设置固定的来源IP（如：远程登录）或使用VPN、堡垒机建立自己的运维通 道，详细操作请参见安全组规则。

Windows加固建议

使用HSS全面体检并深度防御主机和应用方面潜在的安全风险，同时您还可以对您的 Windows系统进行账户安全加固、口令安全加固和授权安全加固。

● 账户安全加固

4. 双击Guest用户，在弹出的Guest属性 窗口中，勾选“账户已禁用”。

5. 单击“确定”，完成Guest用户禁用。

按照用户

● 口令安全加固 Administrators组。

1. 打开控制面板。

2. 选择“管理工具 > 本地安全策略”。

3. 在“本地安全策略”窗口中，选择

“本地策略 > 用户权限分配”。

4. 配置“从远端系统强制关机”，权限 只分配给Administrators组。

本地关机 在本地安全设置中关 闭系统权限只分配给 Administrators组。

1. 打开控制面板。

2. 选择“管理工具 > 本地安全策略”。

3. 在“本地安全策略”窗口中，选择

“本地策略 > 用户权限分配”。

4. 配置“关闭系统”，权限只分配给 Administrators组。

授权 说明 操作步骤 配给Administrators 组。 权”，权限只分配给Administrators 组。

隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS 将程序或者进程的源文件加入文件隔离箱，被隔离的文件不会对主机造成威胁。