一、挖矿木马是啥玩意儿？

这里以比特币为例，所谓“挖矿”就是，将一段时间内比特币系统中发生的交易进行确认，并记录在区块链上，形成新的区块，挖矿的人叫做矿工。简单来说，挖矿就是记账的过程，矿工是记账员，区块链就是版本。比特币系统的记账权利是去中心化的，也就是每个矿工都有记账的权利，只要成功抢到记账权，矿工就能获得系统新生成的比特币奖励。从这个意义上来说，挖矿就是生产比特币的过程。

那么挖矿木马就是攻击者利用各种手段将挖矿程序植入计算机中，利用其计算机的算力进行挖矿，从而获取利益。

二、挖矿木马分析

挖矿木马最大的一个特征就是cpu资源占用非常高，top命令查看cpu情况，可以看出xmr这个进程占用cpu资源很高。

pe -ef查看运行进程,发现tmp下存在可疑文件。

木马执行后释放的文件

木 马 样 本 部 分 截 图

获 取 到 木 马 样 本 后 我 们 可 以 借 助 一 些 分 工 具 或 平 台 对 样 本 分 析 。

通 过 样 本 分 析 ， 此 挖 矿 木 马 会 释 放 文 件 到 / u s r / . w o r k / 和 t m p 下 ， 创 建 计 划 任 务 ， 向 a u t h o r i z e d _ k e y s 写 入 自 己 的 k e y ， 并 发 起 横 向 爆 破 等 行 为 。

三 、 挖 矿 木 马 查 杀

将 矿 池 加 入 黑 名 单 清 除 释 放 的 文 件 ， 删 除 写 入 的 密 钥 。

检 测 是 不 是 占 有 C P U 资 源 接 近 1 0 0 % 以 上 的 过 程 ， 找 到 过 程 对 应 的 文 件 ， 确 认 是 不 是 属 于 挖 掘 矿 木 马 ， K i l l 结 束 木 马 进 程 。

检 测 “ / v a r / s p o o l / c r o n / r o o t ” 、 “ / v a t / s p o o l / c r o n / c r o n t a b s / r o o t / ” 等 文 件 中 是 不 是 有 恶 意 的 脚 本 下 载 命 令

四 、 挖 矿 木 马 防 护

及 时 为 系 统 打 补 丁 。 避 免 漏 洞 攻 击 。

安 装 杀 毒 软 件 防 御 挖 矿 木 马 攻 击 。

使 用 强 度 高 的 登 录 密 码 以 及 W e b 应 用 、 数 据 库 登 录 密 码 ， 防 御 弱 口 令 爆 破 攻 击 。

不 打 开 来 历 不 明 的 文 档 ， 以 及 带 有 图 片 、 文 件 夹 、 文 档 、 音 视 频 等 图 标 的 文 件 。