云社区云博客博客详情
云社区云博客博客详情

如何识别主机是否存在挖矿及快速处置办法

华为云头条 发表于 2018-07-11 20:32:4407-11 20:32
华为云头条 发表于 2018-07-11 20:32:4407-11 20:32
0
0

【摘要】 无论是挖矿木马还是网页挖矿,最终在流量上都是有所体现的

2017年5月12日,一款名叫WannaCry(永恒之蓝)的勒索病毒让全球无数IT运维人员为之放弃周末,紧急响应,比特币一夜之间身价倍增,重回大众视线。一时之间各种虚拟货币层出不穷,挖矿技术更新迭代,为了压缩成本,挖矿木马大量涌现,对此毫无戒心的云上用户和企业成了众矢之的,非法挖矿成为了最有利可图的攻击手段。




识别:不仅仅是CPU很高


在2018年RSA大会《The Five Most Dangerous New Attack Techniques, and What's Coming Next》研讨中,Johannes Ullrich提出可通过高CPU负载、网络流量和主机高温度特征来判断是否存在挖矿,从而采取行动。


事实上,CPU占用率确实是判断是否存在挖矿的第一步,但却不能够判断一定是在挖矿,比如:网页挖矿很多时候都会控制CPU占用率以确其保隐秘性。所以这里提供了另外一种思路,即通过网络流量特征来判断是否在挖矿,无论是挖矿木马还是网页挖矿,最终在流量上都是有所体现的。


通过命令或软件抓包,检查数据包中tcp连接的传递载荷,如果存在连续几个数据包中都符合stratum协议的json载荷特征,那么主机就存在挖矿。 


json中主要特征字段有:id、method、mining.subscribe、params、result、login、job、mining.authorize、mining.submit、jsonrpc、submit、mining.notify、blob、status、keepalive、 mining.set_difficulty,内容主要涉及登陆、订阅、通知、提交等。

 


Z14.jpg

(图1 tcp连接的传递载荷举例)


快速处置:无矿可挖


既然已经知道主机存在挖矿,接下来就是解决挖矿,快速恢复系统可用性。通过上述的挖矿数据包可知矿池的IP地址,首先就是将主机与矿池之间的网络连接阻断。假如矿池IP是1.1.1.1,Linux使用iptables命令:iptables -I INPUT -s 1.1.1.1 -j DROP就可以完成阻断;Windows使用windows防火墙就可以配置阻断。


如果使用的是华为云主机,那么有两个方式可以做到通信阻断:


· 安全组,安全组为白名单机制,默认华为云安全组入方向仅开通any可访问的22、3389端口,主机在挖矿意味着安全组开放比较大,仅保留按需,将any策略去除,也就使挖矿无法进行;


· 网络ACL,ACL可配置黑名单,将所有主机风险阻隔。默认情况下,网络ACL并没有开启,需要创建ACL并绑定至挖矿主机对应网段。网络ACL默认入方向和出方向均为拒绝所有连接,且该规则不可修改,为避免云主机应用不可用,可以在入方向和出方向都新增全局放开策略,然后入方向新增黑IP不允许通过。这里需要注意的是,ACL是顺序匹配原则,当命中一条之后则不会继续往下执行,所以黑名单一定要放在最上面,下面是个例子。

 

Z15.jpg


(图2 网络阻断配置举例)


将主机与矿池之间的网络连接断开之后,就能够很明显的看到CPU占有率的下降。


彻底根治:查杀清理


对于网页挖矿脚本,需要注意浏览网页时CPU使用率,计算机CPU使用率飙升且大部分CPU使用来自于浏览器,那么网页中可能被植入了挖矿脚本,只需要关闭网页就可以解决。一些浏览器具备免费扩展,可以阻止网站利用浏览器进行挖矿,比如Chrome中的MinerBlock。安装后直接使用,无设置界面,当查看的网站有挖矿行为,扩展会提示和阻止。

 

Z16.jpg

(图3 扩展提示挖矿举例)


对于挖矿软件,最简单的办法就是安装杀毒软件来解决,否则只能通过手工删除的方式来根治。手工删除需要先找到挖矿进程,然后删除对应软件、服务、自启动项、可疑账号等,操作比较复杂,需要专业的安全人员协助。


如何防范:论安全意识的重要性


挖矿木马主要通过撞库、爆破、漏洞等攻击方式入侵主机,当主机管理员有足够安全意识,对主机执行基本的安全加固,被利用挖矿的可能性会大大降低。因此建议:


1) 避免使用弱口令,建议口令12位以上(大小写混排);

2) 不使用EOS系统或版本过低应用,系统和应用补丁及时更新;

3) 定期维护服务器,从CPU使用率、进程、服务、账号可疑项等方面检查是否存在持续驻留的挖矿木马;

4) 主机按需配置安全组,尽量避免管理端口对Any IP开放。



更多精彩内容,请扫描下方二维码关注“华为云”公众号~


华为云二维码.jpg

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区),文章链接,文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:huaweicloud.bbs@huawei.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
评论文章 0
点赞
分享文章到微博
分享文章到朋友圈

相关文章


评论 (0)


0/1000
评论

登录后可评论,请 登录注册

评论
温馨提示

您确认删除评论吗?

确定
取消
温馨提示

您确认删除评论吗?

删除操作无法恢复,请谨慎操作。

确定
取消
温馨提示

您确认删除博客吗?

确定
取消

确认删除

您确认删除博客吗?

确认删除

您确认删除评论吗?

温馨提示

登录超时或用户已下线,请重新登录!!!

确定
取消