1.什么是挖矿木马？

    “虚拟货币挖矿”就是依据特定算法，通过运算去获得虚拟的加密数字货币，常见的有比特币、以太坊币、门罗币、EOS币等。由于“虚拟货币挖矿”需要借助计算机高速运算，消耗大量资源，一些不法分子通过植入挖矿木马，控制受害者计算机进行“虚拟货币挖矿”。相比其他网络黑产，挖矿木马获利非常直接、非常暴利，挖矿木马攻击事件呈爆发式增长。

2.计算机被挖矿特征？

     感染挖矿木马会造成计算机CPU/GPU占用明显，计算机持续发热，资源消耗增加，运行速度变慢，重启也不能解决问题。新型挖矿木马会在计算机闲置时全力“虚拟货币挖矿”，用户很难发现异常。

3.挖矿木马如何排查处置？

    1、排查方法：“挖矿”木马被植入主机后，利用主机的运算力进行挖矿，主要体现在 CPU、GPU使用率高达 90%以上，有大量对外进行网络连接的日志记录。

2、处置方法：一旦发现计算机或服务器存在上述现象，则极有可能已经感染了“挖矿”木马。可以通过以下步骤来删除：

   （1）对恶意程序进行清除操作，由于“挖矿”木马具有很强存活能力，不建议手工查杀，建议使用杀毒软件,对主机进行全盘扫描和查杀，如无法清除，建议重新安装操作系统及应用软件；

    Linux/mac 系统，也可参照以下说明进行排查：

    A．排查是否存在异常的资源使用率(内存、CPU 等)、启动项、进程、计划任务等，使用相关系统命令(如netstat)查看是否存在不正常的网络连接，top检查可疑进程，pkill杀死进程，如果进程还存在，说明一定有定时任务或守护进程（开机启动），检查 /var/spool/cron/root 、/etc/crontab 和/etc/rc.local。

    B．查找可疑程序的位置将其删除，如果删除不掉，查看隐藏权限。lsattr chattr 修改权限后将其删除。

    C．查看/root/.ssh/目录下是否设置了免秘钥登录，并查看ssh_config 配置文件是否被篡改。

   （2）使用防火墙关闭不必要的访问端口号或服务， 重启主机后，再测试是否还有可疑进程存在。

4.挖矿木马如何防范？

    挖矿木马大多利用计算机常见漏洞，如未授权访问、远程命令执行漏洞、弱口令、新爆发漏洞等，做好日常防范非常关键。

（1）安装正版系统，并及时为系统打补丁

（2）安装杀毒软件或安全防护软件

（3）设置高强度登录密码，并定期更换

（4）不打开来历不明的文档、邮件等

（5）不浏览被安全软件提示为恶意的网站

（6）不安装来历不明的软件、外挂等

（7）不使用未经杀毒的U盘、移动硬盘等

如无法自行处理挖矿木马，尝试备份必要文件并重装正版系统。此外，除了做好对挖矿木马日常防范，我校师生严禁在校园内进行主动“虚拟货币挖矿”。