本文以挖矿程序为例,介绍云安全中心在处理挖矿病毒的事前、事中、事后所提供的安全告警、拦截查杀、溯源分析等服务。
前提条件
- 请在资产中心页面的服务器页签下,查看服务器的客户端(即云安全中心Agent)状态是否为开启,只有云安全中心客户端的状态为开启,云安全中心才能防护该服务器。
- 如果服务器的客户端状态为暂停保护,则说明该服务器上的客户端已被关闭,云安全中心无法为该服务器提供保护。您需要为该服务器开启保护。具体操作,请参见修改服务器保护状态。
- 如果服务器的客户端状态为离线,则说明该服务器上尚未安装云安全中心Agent,云安全中心无法为该服务器提供保护。您需要为该服务器安装云安全中心Agent。具体操作,请参见安装Agent。
- 如果您已为服务器成功安装云安全中心Agent,但在云安全中心控制台上该服务器的客户端状态仍为离线,您需要排查客户端离线的原因。具体操作,请参见Agent离线排查。
限制条件
请确保您使用的是云安全中心防病毒版、高级版、企业版或旗舰版。防病毒版、高级版、企业版或旗舰版才支持对您服务器中的挖矿程序进行处理。免费版仅支持安全告警检测,不支持安全告警处理。您可以通过购买云安全中心防病毒版、高级版或企业版来使用安全告警处理的功能。更多信息,请参见文档购买云安全中心。
点击此处立即购买云安全中心
免费试用
云安全中心为已购买免费版的用户提供7天免费试用旗舰版的活动。
如果您未购买过云安全中心,您还可以通过申请免费试用云安全中心的旗舰版,使用旗舰版处理挖矿程序。开通免费试用云安全中心旗舰版的具体介绍,请参见文档开通免费试用。
点击此处免费试用云安全中心
挖矿程序的特征
- 挖矿程序会占用CPU进行超频运算,导致CPU严重损耗,并且影响服务器上的其他应用。
- 挖矿程序还具备蠕虫化特点,当安全边界被突破时,挖矿病毒会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。
- 挖矿程序具有联动作用,在清理过程中会存在处理不及时或清理不干净导致挖矿病毒反复发生、出现恶意脚本替换系统命令的现象,从而导致执行系统命令时触发恶意脚本执行(例如:xorddos)。因此,需要在挖矿程序的一个执行周期内,尽快将被入侵服务器上的木马程序和持续化后门清理干净,否则容易导致挖矿病毒频繁复发。
如何判断资产中是否存在挖矿威胁
如果您服务器的CPU使用率明显升高,例如达到80%以上,并且出现未知进程持续向外发送网络包的情况,可以判定您的服务器中存在挖矿威胁。详细内容,请参见如何判断资产中是否存在挖矿威胁?
云安全中心用户处理挖矿程序
非云安全中心用户处理挖矿程序(Linux系统)
挖矿程序为了最大程度获取利益,会存放大量的持久化后门,导致病毒杀不死或难以清理。
如果您在未购买云安全中心服务的情况下遇到挖矿病毒,可以采取如下措施排查和处理。
非云安全中心用户处理挖矿程序(Windows系统)
如果您在未购买云安全中心服务的情况下遇到挖矿病毒,可以采取如下措施排查和处理。