防范与处置“挖矿”木马技术指南.docx

附件2： 防范与处置“挖矿”木马技术指南 一、“挖矿”木马的检测与处置 对“挖矿”木马的检测可通过安装杀毒软件进行查杀，同时结合以下各检查项对计算机进行排查： 检查系统CPU负载情况，是否一直或经常满载，“挖矿”需要大量计算力，通常大量使用CPU计算资源，如有GPU，建议同时检查GPU使用情况； 检查网络是否有异常连接； 检查是否有异常新增账户，检查原有账户是否有异常登录； 检查是否有异常未知进程； 检查是否存在异常添加的未知文件； 检查系统文件、系统命令是否被篡改； 检查系统日志是否存在异常记录。 检测出的异常结果可通过搜索引擎搜索相关信息，确认是否为“挖矿”木马，一旦发现“挖矿”木马则必须进行彻底清理，如无法确认是否已彻底清理，建议做好备份后，彻底重装操作系统。 二、“挖矿”木马的防范 在日常使用计算机中，除了坚决不要主动参与“挖矿”活动，还要做好“挖矿”木马的防范工作： 使用正版操作系统，及时更新操作系统补丁。 安装安全防护软件并及时升级病毒和规则库，定期检测计算机安全状况，定期全盘扫描，保持实时防护。 计算机登录口令要有足够的长度和复杂性，严禁使用弱口令、空口令，服务器建议定期更换登录口令，Linux服务器建议使用密钥认证。 非必要不要开启远程控制，如必须使用应避免使用向日葵、TeamViewer等远程控制类软件。 从正规渠道下载安装软件，不安装未知来源的第三方软件，不点击未知的链接。 不打开来源不明的文档、邮件、邮件附件。 不浏览被安全软件提示为恶意或存在风险的网站。 不使用未经杀毒的U盘、移动硬盘等存储设备。 建议服务器采用最小访问控制策略，仅允许授权IP地址访问。 三、加强教学科研服务器的日常管理与运维 教学科研服务器不仅是“挖矿”木马的攻击重点，也是其他攻击行为的重要目标之一，建议加强教学科研服务器的日常管理与运维，规范使用服务器，切实履行国有资产管理职责，具体工作要点包括但不限于以下内容： 1.切实落实网络安全责任制，明确网络安全管理员及运维人员，严格落实教学科研服务器及机房管理责任，明确网络安全负责人、网络安全管理员，规范开展服务器安全运维管理工作，定期巡检、升级。加强监控，及时发现服务器异常情况并处置各类网络安全问题，制定应急预案并定期开展演练。如服务器数量或机房达到一定规模，建议使用专业技术机构或聘请专业技术人员协助开展运维管理工作。 2.加强账号日常管理，用户密码须满足密码强度要求（10位以上，包含大小写字母+数字+特殊符号组合，定期更换）；尤其要加强对已毕业离校的学生所使用服务器的安全管理，全面清理异常或不再用账号；限制服务器登录失败次数，定期检查服务器登录失败日志等。 3.教学、科研和管理等核心数据做好数据备份。 4.落实实名制上网，不共享上网账号，以免造成网络安全责任不清。