挖礦病毒處理案例分析及思考

摘 ?要：近年來，挖礦病毒和勒索病毒肆無忌憚，許多終端電腦、服務器被感染，傳播范圍廣，速度快，給企業和個人帶來了嚴重的威脅。伴隨信息化發展，各種各樣的病毒層出不窮。一些病毒很容易清除，一些病毒卻異常頑固、難以處理，挖礦病毒就是其中之一。文章主要探索防范及處理挖礦病毒的方法。結合服務器感染挖礦病毒的實際案例，通過逐一的診斷與排查，最終解決服務器感染挖礦病毒的而產生故障，為防范與解決挖礦病毒提供思路。

關鍵詞：服務器;挖礦病毒;故障處理;防范措施

中圖分類號：TP309.5 ? ? ?文獻標識碼：A 文章編號：2096-4706（2020）12-0145-03

Abstract：In recent years，mining viruses and ransomware have been unscrupulous，and many terminal computers and servers have been infected，with wide spread and fast speed，which has brought serious threats to enterprises and individuals. With the development of information technology，various viruses have appeared. Some viruses are easy to remove，while others are extremely stubborn and difficult to handle. Mining viruses are one of them. This article mainly explores methods to prevent mining viruses and deal with mining viruses. Combined with the actual case of the server infected with mining virus，through the diagnosis and investigation one by one，the fault caused by the server infected with mining virus is finally solved，which provides ideas for the prevention and solution of mining virus.

Keywords：server;mining virus;fault handling;preventive measures

0 ?引 ?言

隨著社會對信息資源的依賴程度越來越高，網絡和信息系統安全問題愈加重要，保障網絡和信息系統安全是信息化發展過程中必須要解決的重大問題。我國信息系統安全面臨的形勢非常嚴峻，必須高度重視信息系統安全。目前，挖礦病毒已經成為不法分子使用最為頻繁的攻擊方式之一，每年全國有大量服務器被挖礦病毒感染。本文研究了挖礦病毒的清除辦法、傳播方式和防范措施，以減少感染挖礦病毒的機率，降低挖礦病毒對網絡信息安全的威脅。挖礦病毒會占用服務器資源，導致服務器運行緩慢，而且還可能影響重要業務與數據的安全性。結合實際處理方式，經過對挖礦病毒的研究和探索，為挖礦病毒的處理、防范提供了思路。

本單位對傳統數據中心進行改造，建成了私有云平臺，采用分布式技術，實現計算資源、網絡資源、存儲資源的池化和服務化。云平臺建成后，所有業務遷移至虛擬機。感染病毒的所有服務器由資源池統一分配資源，均為虛擬機。作為本單位信息系統管理員，在服務器感染病毒后，對其進行了相應的處理。前期通過刪除病毒進程等簡單處理，未能徹底清除病毒。由于所有服務器在同一網段，IP地址互通，在感染病毒后，服務器之間未進行隔離，其他服務器幾在天后也遭到了病毒感染。通過查找資料、研究挖礦病毒，采取了多種方法最終清除了挖礦病毒，使服務器恢復正常。

1 ?故障現象

服務器為學院私有云平臺上建立的虛擬機，安裝Windows Server 2008 R2操作系統。按照常規對服務器進行健康檢查，在云計算管理平臺發現網站服務器CPU使用率接近100%，服務器資源占用嚴重。登錄網站服務器，系統運行緩慢，打開Windows任務管理器，發現多個異常PowerShell.exe進程占用了很高的CPU資源。結束異常進程，CPU資源使用率恢復正常。在第二天的服務器巡查工作中，發現另外幾臺服務器也發生了CPU占用率高的現象。通過信息中心360威脅感知平臺發現病毒最初感染時間為“2020-06-03 07：43：37”，警告類型為“[惡意軟件]遠控木馬”，威脅名稱為“挖礦蠕蟲活動事件”，結果為“失陷”，攻擊源地址來自美國密歇根州蘭辛市，如表1所示。服務器被挖礦病毒感染后通常會出現運行異常緩慢、沒有打開任何程序但CPU占用率非常高的現象。根據查閱資料及威脅感知平臺數據，結合被病毒感染后出現的現象判斷服務器感染了挖礦病毒，已被黑客控制利用。作為信息系統管理員，發現服務器出現異常，必須第一時間進行處理。根據感染挖礦病毒后常見現象，進行了結束進程、殺毒等一系列操作，CPU利用率恢復到正常水平，徹底清除了挖礦病毒，使服務器恢復正常。

2 ?故障診斷與排除

2.1 ?查殺病毒

網站服務器操作系統安裝360安全衛士和360殺毒軟件。使用360安全衛士對操作系統進行木馬查殺，未發現相關木馬。使用360殺毒軟件對服務器進行全盤掃描，未掃出任何病毒。把360安全衛士和殺毒軟件升級到最新版本，重新查殺仍未發現任何病毒。

2.2 ?結束進程

查看服務器操作系統任務管理器，發現大量PowerShell.exe進程，導致CPU占用率接近100%。通過手動關閉所有PowerShell.exe進程釋放CPU后，CPU利用率立即下降，恢復到正常水平。幾小時后登錄服務器檢查，發現多個PowerShell.exe進程重啟運行，CPU占用率仍達到100%。為徹底禁止Powershell.exe進程，嘗試刪除或重命名C：＼Windows＼System 32目錄下的PowerShell.exe文件，但無法完成刪除和重命名的操作。

2.3 ?專殺工具查殺

通過360天眼分析平臺的威脅感知系統，發現服務器存在挖礦蠕蟲活動事件，結果顯示服務器感染了挖礦蠕蟲病毒，攻擊結果為失陷。使用驅動人生專殺工具和“永恒之藍”下載器木馬專殺工具對服務器操作系統進行全盤掃描，最終找到了PowerShell.exe等挖礦蠕蟲病毒文件。對所有發現的病毒文件進行一鍵清理，PowerShell.exe進程被清理掉，任務管理器沒有找到相關進程，CPU利用率恢復正常。但攻擊并沒有結束，第二天對服務器進行檢查，發現PowerShell.exe進程重新運行，導致CPU使用率又接近100%。

2.4 ?刪除定時任務

服務器感染挖礦病毒后會創建隨機計劃任務。使用taskkill命令暫時將服務器操作系統上的PowerShell.exe進程結束。刪除定時任務，在管理工具→計劃任務程序→計劃任務程序庫中刪除可疑的計劃任務。服務器感染挖礦病毒后，會對內網其他服務器進行暴力破解，繼而進行擴散，所以要更改服務器密碼。隨即更改所有感染挖礦病毒或在同一網絡的所有服務器操作系統的登錄密碼，增加密碼的復雜度設置，由字符大小寫、數字、特殊符號組成，且不小于8位數。

2.5 ?虛擬機防護軟件掃描及策略優化

使用360網神虛擬化安全管理系統對感染病毒的主機進行全盤掃描、強力查殺;對中病毒主機執行webshell掃描。掃描出許多被病毒感染的文件，對全部文件執行清除、隔離。在虛擬化安全管理系統上增加防火墻規則，開啟所有入侵防御功能，關閉445、137、139等高危端口。

2.6 ?使用360急救箱進行系統急救

在服務器上安裝360系統急救箱。使用急救箱強力模式對系統進行急救。通過全盤掃描，掃出幾個有異常的定時計劃任務，全部清除。通過幾天觀察，未發現PowerShell.exe進程導致CPU利用率高的現象。360天眼分析平臺也未提示有任何服務器感染挖礦病毒。

3 ?出現故障的原因分析

3.1 ?內部攻擊

攻擊者通過偽造郵件或惡意鏈接，誘導內網用戶下載郵件中的惡意軟件。黑客攻擊內部電腦并獲取系統權限，植入病毒，利用腳本自動化橫向滲透內網部署挖礦病毒。

相關人員安全意識不足，未做好口令管理和安全防護。黑客通過某種手段獲取內網辦公電腦權限，采用WMI+ PowerShell的內存駐留方式實現無文件挖礦和橫向感染。

3.2 ?漏洞利用

網站提供對外服務，服務器操作系統存在漏洞，未及時修復。并且開啟了445、3389等高危端口，這些對外開放的網絡端口，被攻擊者利用、入侵并植入挖礦病毒。服務器之間未配置隔離，密碼設置簡單，導致服務期間相互感染。

3.3 ?虛擬機相互感染

服務器是虛擬機，而虛擬機相互之間的通訊依靠虛擬機交換機，由于虛擬交換機的寬泛性，所有的虛擬機都可以隨時互相通信，當其中一臺虛擬機感染病毒或存在漏洞時，攻擊者便可以利用漏洞控制這臺虛擬機，然后向宿主機上其他虛擬機發起攻。由于傳統的硬件安全設備無法對虛擬機之間的交互進行檢測防護，不能對其他虛擬機提供安全防護能力，攻擊者就可以暢通無阻地攻擊其他虛擬機。這就導致如果一臺服務器感染病毒，其他服務器也將面臨被感染的風險。

3.4 ?密碼設置簡單

服務器密碼復雜度低，病毒可以通過密碼暴力破解入侵服務器，植入挖礦病毒。挖礦病毒結合高級攻擊技術，增加了對目標服務器感染的成功率。通過利用各種漏洞，導致大量服務器被感染挖礦病毒程序。

4 ?防范措施

4.1 ?優化服務器配置并及時更新

開啟服務器防火墻，服務只開放業務端口，關閉所有不需要的高危端口，例如137、138、445、3389等。關閉服務器不需要的系統服務、默認共享。及時給服務器、操作系統、網絡安全設備、常用軟件安裝最新的安全補丁，及時更新Web漏洞補丁、升級Web組件，防止漏洞被利用，有效抵防范已知病毒的攻擊。

4.2 ?強化密碼復雜度及登錄策略

對登錄服務器的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有一定的復雜度要求并定期更換。制定嚴格的密碼策略，比如密碼要定期修改、要保證足夠的長度和復雜度。設置高復雜度密碼，增強口令強度，并刪除一些不必要的配置。設置服務器登錄密碼強度和登錄次數限制，口令不要用一些容易被猜到的組合。在服務器配置登錄失敗處理功能，配置并啟用結束會話、限制非法登錄次數和當登錄次數鏈接超時自動退出等相關防范措施。

各服務器要有自己獨立的賬號、密碼體系，不能多個服務器公用一個賬號、密碼。重命名或刪除默認賬戶，修改默認賬戶的默認密碼。開啟操作系統審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。

4.3 ?漏洞防范與掃描

程序設計考慮不周會對程序本身、系統或數據帶來潛在的危害，造成代碼漏洞。引進業務系統，必須考慮業務代碼的健壯性，避免存在高、中危漏洞。使用漏洞掃描系統定期進行漏洞掃描，在發現操作系統、應用軟件、數據庫等存在可以被遠程利用的漏洞后應及時修復。應使用正版的操作系統軟件，至少要求Windows Server 2008及以上擁有更高安全性的版本，減少病毒感染等風險。更新操作系統文件，及時修復系統漏洞，保持操作系統文件及相關軟件為最新版本。

4.4 ?邊界防護

在互聯網出口和服務器區域的出口等關鍵位置部署防火墻或專門的防病毒網關，防止病毒在網絡層面傳播和擴散。設置安全設備自動更新病毒特征庫。開啟防病毒、入侵防御、反垃圾郵件等功能。然而上述配置不能一勞永逸，需要定期查看和分析日志，根據實際情況不斷調整和優化防御策略。在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外，受控接口應拒絕所有通信。

4.5 ?應用層防護

增加針對應用層的安全監測、防護設備。利用相關軟、硬件安全設備，能夠對未知威脅的惡意行為實現早期、迅速的發現，進而對受害目標及攻擊源頭進行精準定位，及時發現并阻斷攻擊。病毒在掃描網絡中漏洞主機的過程中的流量也是有特征可尋的，利用專業的安全設備及早發現并消滅病毒，避免大規模感染的發生。

4.6 ?終端防護

單位的終端包括電腦主機、服務器等，上述設備都需要安裝正版殺毒軟件，并需要及時更新它們的病毒特征庫。正版的付費殺毒軟件相較于免費版增加了很多功能。免費版殺毒軟件通常只能查殺基本的病毒，一旦感染了頑固的病毒就很難完成殺毒工作。免費版殺毒軟件安全保障程度較低，經常出現誤刪，在殺毒的過程中如果把重要的文件弄誤刪，公司也不能追究廠商的責任。而付費版的殺毒軟件能夠避免這種情況，即使文件被誤刪，也能要求相關廠商恢復。

在系統剛剛做好的時候，在服務器終端安裝正規的防病毒軟件，并將病毒特征庫升級到最新的版本，定期對服務器進行病毒查殺，避免感染并查殺一般的病毒。

4.7 ?數據備份

使用備份設備對操作系統、應用系統、數據庫、虛擬化設備進行備份，既能保證數據的安全，又能夠快速地恢復數據及相關業務。防止感染病毒導致數據丟失或無法使用。比如系統感染了勒索病毒，會對所有的“.doc”、“.xlsx”、“.jpg”等重要文件進行加密，基本上無法對其解密。使用備份設備提高了數據安全性，為數據安全加了一道保險，可以有效降低病毒感染帶來的損失。

4.8 ?日志采集

安裝日志服務器，采集業務系統中海量日志數據，實時監控系統性能及可用性，追溯故障根源，及時發出警告，降低故障對業務訪問的影響，滿足智能運維監控的要求。盡早發現異常操作行為、快速排查性能故障、避免日志遭到篡改刪除，滿足單位全面安全審計的要求。采用日志服務器或日志審計系統對審計記錄進行保護，并定期備份。

4.9 ?信息安全培訓

各種安全技術應該與運行管理機制、相關人員思想教育與技術培訓、安全規章制度建設相結合，從社會工程學的角度綜合考慮。加強所有相關人員的信息安全培訓，提高信息安全意識，不隨意點擊來源不明的郵件、文檔、鏈接，不要訪問可能攜帶病毒的非法網站。若在內部使用U盤，需要先進行病毒掃描查殺，確定無病毒后再完全打開使用。

5 ?結 ?論

病毒防護既要做好外部防護，也要防范內部攻擊。在抵御外界攻擊的同時，應該加強對內部網絡環境的監控。不僅要通過技術手段防范病毒，還需要加強工作人員的信息安全培訓，提高所有人員信息安全防范意識。病毒威脅千變萬化，防御入侵不能一步完成。要通過監控服務器、網絡狀態、分析相關日志，調整和優化不合理策略，才能在最大程度上保證服務器、網絡的安全性。

傳統安全設備如今已經無法抵御復雜、隱蔽的APT攻擊。防火墻只能針對網絡層以下進行防護，需要不斷完善對應用層以及相關應用協議的防護機制。對于不同的病毒，它們有其自身的特點，選擇相應的專業查殺工具進行查殺也是清除病毒的技巧之一。任何網絡和信息系統都無法做到絕對的安全。系統的安全工程要有一定的靈活性來適應變化，做到有層次性、體系性，既有利于系統的安全，又有利于系統的擴展。

參考文獻：

[1] 郭俊英，劉衛明，張明明，等.云計算架構的網絡信息安全對策分析 [J].通訊世界，2018（5）：109-110.

[2] 周靖哲，陳長松.云計算架構的網絡信息安全對策分析 [J].信息網絡安全，2017（11）：74-79.

[3] 謝尊平，彭凱.網絡信息安全的危害因素和保障措施 [C] //第二十二次全國計算機安全學術交流會.全國計算機安全學術交流會論文集（第二十二卷）.中國湖南張家界：中國科學技術大學出版社，2007：197-199.

作者簡介：趙文軍（1986.11—），男，漢族，貴州貴陽人，助理實驗師，本科，主要研究方向：計算機網絡、信息安全。