1、确认感染:
- 对告警进行分析,确认告警正确性
- 对日志进行分析,确认所有中招主机
2、分析现状:
- 分析安全告警,如连接/查询矿池,告警最早发现时间
- CPU使用率高
- 分析系统架构,服务器类型、中间件、数据库、业务架构等
3、处置方法:
- 在防火墙上禁用到矿电脑 池以及恶意域名的所有连接
- 对被感染主机进行隔离处置,禁用所有有线及无线网卡或直接拔掉网线,防止病毒感染其他主机;
- 禁止在被感染主机上使用U盘、移动硬盘等可执行电脑摆渡攻击的设备;
- 未感染主机关闭SSH、RDP等协议,并更改主机密码
- 备份重要数据,且文件备份与主机隔离
- 定位挖矿文件并查杀或重装系统
4、日志分析:
- 对系统文件、进程、系统信息、日志等进行排查,并查看相关服务,是否存在弱口令和脆弱点,如redis未授权访问、weblogic反序列化等
5、防御:
- 电脑对系统进行补丁更新,封堵病毒传播途径
- 制定严格的口令策略,避免弱口令
- 结合备电脑份的网站日志对网站应用进行黑/白盒测试,找出攻击者利用的漏洞入口进行封堵
电脑