随着虚拟货币市场的波动,虚拟货币挖矿行为在一些地区和领域有所抬头,这种行为不仅消耗大量能源,推高社会用电成本,更可能利用单位或组织的公共资源(如计算资源、网络带宽、电力等),带来安全风险、法律风险及运营效率下降等问题,制定并实施一套全面、有效的虚拟货币挖矿排查方案,已成为维护信息系统安全、保障资源合理利用的必要举措。
排查目标
- 全面发现:准确识别组织内部网络、服务器、终端设备是否存在虚拟货币挖矿行为及相关程序。
- 精准定位:确定挖矿行为的源头、涉及的具体设备、IP地址、运行时段及责任人。
- 有效处置:及时清除挖矿程序,阻断挖矿活动,消除安全隐患。
- 长效预防:建立健全监测预警和管控机制,防止挖矿行为死灰复燃。
排查范围
排查范围应覆盖组织内部所有可能与计算资源、网络资源相关的设备和系统,包括但不限于:
- 服务器:物理服务器、虚拟机(含公有云、私有云、混合云实例)、容器。
- 终端设备:员工办公电脑、笔记本、工作站等。
- 网络设备:路由器、交换机、防火墙等(排查其是否存在异常资源占用或被植入挖矿程序)。
- 物联网设备:如有条件,也应关注可能被利用的IoT设备。
- 用户账户:特别是具有较高权限的管理员账户和共享账户。
排查内容与方法
排查工作应采取“技术手段为主,人工核查为辅,多维度交叉验证”的原则。
(一) 技术排查
-
进程监控与分析:
- 方法:通过任务管理器(Windows)、Activity Monitor(macOS)、
top/ps命令(Linux)等实时查看进程列表,关注可疑进程名,如包含“miner”、“xmrig”、“cpuminer”、“eth”、“stratum”等关键词的进程。 - 深入:对可疑进程,进一步分析其CPU、内存、网络占用情况,查看其文件路径、数字签名、命令行参数,可使用专业进程分析工具(如Process Explorer、Htop)。
- 方法:通过任务管理器(Windows)、Activity Monitor(macOS)、
-
网络流量监测:
- 方法:通过防火墙、入侵检测/防御系统(IDS/IPS)、网络流量分析(NTA)工具,监控异常的网络连接行为。
- 关注点:
- 大量 outbound 连接到陌生IP地址(尤其是境外IP),常见端口如3333(Stratum协议)、4444、8888、9999等。
- 流量模式异常,如周期性的大量数据上传/下载,非业务高峰期的带宽占用突增。
- DNS查询请求频繁指向已知的挖矿池域名或恶意域名。
-
文件系统扫描:
- 方法:使用杀毒软件、终端安全防护(EDR)工具或专门的挖矿程序特征库,对全量设备进行文件扫描。
- 关注点:查找挖矿程序主体文件、配置文件、脚本文件、挖矿钱包地址文件等,关注临时目录、下载目录、系统目录下的可疑文件。
