写在前面
----
之前上学在阿里云租了台学生服务器,装了一个Docker玩,后来不知道怎么回事,通过Docker连客户端暴露的端口
被植入了国外的挖矿木马,只部署了一个毕设项目,CPU天天爆满,机器被拉去挖矿了...挖矿木马为了能够长期在服务器中驻留,会采用多种安全对抗技术,如修改任务计划,修改防火墙配置,修改系统动态链接库等,使用这些技术手段严重时可能会造成服务器业务中断。...是否正在遭遇挖矿
计算机CPU使用率是否飘升,系统是否卡顿,部分服务是否存在无法正常运行等现象
通过服务器性能检测设备查看服务器性能判断异常
通过查看安全检测类设备告警判断挖矿木马会与矿池地址建立连接...常规处理步骤
当出现可疑进程时,找当前主机的使用用户确认该进程;
当确定为挖矿进程后,进行溯源排查,因为一般攻击者会进行相关的设置,来保证当挖矿进程被kill 之后,还能再次启动,通过溯源排查能够查找相关配置...「进程排查,任务管理器查看,检查可疑进程」
「任务计划排查,任务计划程序查看,检查可疑任务计划」
「服务排查,任务管理器---> 服务」
日志排查
系统日志:默认情况下, Windows系统日志放在%SystemRoot