
一、什么是挖矿木马比特币是以区块链技术为基础的虚拟加密货币比特币具有匿名性和难以追踪的特点经过十余年的发展已成为网络黑产最爱使用的交易媒介。大多数勒索病毒在加密受害者数据后会勒索代价高昂的比特币。比特币在2021年曾达到1枚6.4万美元的天价比特币的获得需要高性能计算机又称矿机一般配置顶级CPU和GPU按特定算法计算计算的过程被形象的称为“挖矿”。矿机价格昂贵为生产比特币有人不惜重金购置大量矿机组成网络集群挖矿。挖矿又非常耗电因此矿场往往会寻找偏僻地区的小水电、小火电而建因为电费便宜有人为节约成本偷电挖矿。当数字加密币市值暴涨时挖矿业务会水涨船高高端CPU、GPU、高端显卡、大容量硬盘被炒上天价还卖断货。目前我国政府宣布要实现碳达峰碳中和的目标严重耗能的虚拟加密币相关生产、交易被认定为非法我国境内所有生产加密货币的矿场必须关闭。因挖矿需要大量财力投入从一开始就有人想到利用木马控制他人的计算机组建僵尸网络集群挖矿的办法这就是所谓“挖矿木马”。不法分子通过各种非法手段将矿机程序植入受害者的计算机中利用受害者计算机的运算能力进行挖矿活动从而获取非法收益。这类非法侵入用户计算机的矿机程序被称作挖矿木马病毒。二、挖矿木马的主要入侵方式挖矿木马常见的攻击方式及攻击后果可以参考下图1、漏洞攻击利用系统漏洞快速获取相关服务器权限植入挖矿木马是目前最为普遍的传播方式之一。常见的漏洞包括Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、Web漏洞等。例如传播较广的WannaMine挖矿家族利用了永恒之蓝漏洞在内网蠕虫式传播给不少公司和机构带来巨大损失。2、弱口令爆破弱口令指的是仅包含简单口令、有规律的键盘组合或历次泄漏过的密码攻击者通常会针对redis、ssh、3389、mssql、IPC$等服务进行爆破弱口令攻击。爆破成功后尝试获取系统权限植入挖矿木马并设置持久化。3、伪装正常软件攻击者将挖矿木马伪装为游戏软件、娱乐社交软件、安全软件、游戏外挂等进行传播欺骗用户下载并执行。由于多数游戏对显卡、CPU等硬件性能要求较高故挖矿木马通常伪装成游戏辅助外挂通过社交群、网盘等渠道传播感染大量机器。三、挖矿木马的安全危害挖矿木马攻击就是发生率较高极可能造成业务系统中断的威胁事件挖矿木马最明显的影响是大量消耗系统资源使系统其他软件或服务运行缓慢性能变差。主要安全危害包括业务故障、资源损耗及其他的安全威胁。1、业务故障挖矿木马会占用CPU进行超频运算从而占用主机大量的CPU资源导致设备性能不足业务访问缓慢设备过载宕机重启异常网络链接等问题严重影响服务器上的其他应用的正常运行最终会影响业务系统工作运行。2、资源损耗挖矿木马的挖矿活动会使设备各器件高速运行产生大量热能增加电能消耗加速设备器件老化等问题造成资源损耗浪费。3、安全威胁挖矿木马作为一款应用程序在服务器中运行其拥有服务器权限对服务器主机产生安全威胁。部分挖矿木马还具备蠕虫化的特点在主机被成功入侵之后挖矿木马还会向内网渗透并在被入侵的服务器上持久化驻留以获取最大收益。四、挖矿木马的检测手段1、挖矿主机指纹识别通过主机探测平台内置指纹知识库如Body特征、Header特征对挖矿木马指纹进行识别进而发现感染挖矿木马主机资产。2、挖矿主机端口识别通过研究分析目前主流的挖矿木马类型存在的通信端口感染主机的标记端口等形成挖矿木马常用端口知识库并对资产开放端口进行聚合分析探测这些端口的指纹信息进行识别和确认。3、挖矿主机协议检测通过挖矿木马的通信协议特征对比分析网络资产开放的服务协议定位存在挖矿木马感染风险的资产主机。4、IOC威胁情报关联检测通过大数据威胁情报实时更新最新的挖矿木马情报。包括挖矿木马家族使用的CC域名、恶意文件hash、矿池域名和IP、挖矿木马使用的加密货币钱包地址等进行挖矿木马流量检测告警。5、挖矿木马行为特征检测通过网络流量检测分析引擎对其挖矿木马通信的端口、协议、内容、行为特征、恶意文件检测等挖矿木马流量特征进行检测分析定位出存在恶意挖矿行为的终端及主机。6、DNS流量检测挖矿域名通过DNS威胁流量检测基于域名分析算法结合威胁情报系统对CC域名、挖矿网站域名、DNS解析IP等进行聚类分析进而发现内网存在的恶意挖矿行为。五、挖矿木马的清理参考网上给出的腾讯安全专家撰写的《挖矿木马自助清理手册》的挖矿木马清理步骤和方法1、及时隔离主机部分带有蠕虫功能的挖矿木马在取得主机的控制权后会继续对公网的其他主机或者以当前主机作为跳板机对同一局域网内的其他主机进行横向渗透所以在发现主机被植入挖矿木马后在不影响业务正常运行的前提下应该及时隔离受感染的主机然后进行下一步分析和清除工作。2、阻断异常网络通信挖矿木马不仅会连接矿池还有可能会连接黑客的C2服务器接收并执行C2指令、投递其他恶意木马所以需要及时进行网络阻断。1检查主机防火墙当前生效的iptables规则中是否存在业务范围之外的可疑地址和端口它们可能是挖矿木马的矿池或C2地址iptables -L -n2从iptables规则中清除可疑地址和端口vi /etc/sysconfig/iptables3阻断挖矿木马的网络通信iptables -A INPUT -s 可疑地址 -j DROP iptables -A OUTPUT -d 可疑地址 -j DROP3、清除计划任务大部分挖矿木马会通过在受感染主机中写入计划任务实现持久化如果仅仅只是清除挖矿进程无法将其根除到了预设的时间点系统会通过计划任务从黑客的C2服务器重新下载并执行挖矿木马。可以通过执行如下命令查看是否存在可疑定时任务若有则先保存相关记录用于后续分析再进行删除查看系统当前用户的计划任务crontab -l查看系统特定用户的计划任务crontab -u username -l查看其他计划任务文件cat /etc/crontabcat /var/spool/croncat /etc/anacrontabcat /etc/cron.d/cat /etc/cron.daily/cat /etc/cron.hourly/cat /etc/cron.weekly/cat /etc/cron.monthly/cat /var/spool/cron/4、清除启动项除了计划任务挖矿木马通过添加启动项同样能实现持久化。可以使用如下命令查看开机启动项中是否有异常的启动服务。CentOS7以下版本chkconfig –listCentOS7及以上版本systemctl list-unit-files如果发现有恶意启动项可以通过如下命令进行关闭CentOS7以下版本chkconfig 服务名 offCentOS7及以上版本systemctl disable 服务名另外还需要仔细排查以下目录及文件及时删除可疑的启动项/usr/lib/systemd/system /usr/lib/systemd/system/multi-user.target.wants /etc/rc.local /etc/inittab /etc/rc0.d/ /etc/rc1.d/ /etc/rc2.d/ /etc/rc3.d/ /etc/rc4.d/ /etc/rc5.d/ /etc/rc6.d/ /etc/rc.d/排查的时候可以按照文件修改时间来排序重点排查近期被创建服务项。5、清除预加载so通过配置/etc/ld.so.preload可以自定义程序运行前优先加载的动态链接库部分木马通过修改该文件添加恶意so文件从而实现挖矿进程的隐藏等恶意功能。检查/etc/ld.so.preload该文件默认为空清除异常的动态链接库。6、清除SSH公钥挖矿木马通常还会在~/.ssh/authoruzed_keys文件中写入黑客的SSH公钥这样子就算用户将挖矿木马清除得一干二净黑客还是可以免密登陆该主机这也是常见的保持服务器控制权的手段。排查~/.ssh/authorized_keys文件如果发现可疑的SSH公钥直接删除。7、清除挖矿木马1清除挖矿进程挖矿木马最大的特点就是会在用户不知情的情况下利用主机的算力进行挖矿从而消耗主机大量的CPU资源所以通过执行如下命令排查系统中占用大量CPU资源的进程。top -cps -ef确认相关进程为挖矿进程后按照如下步骤将其清除获取并记录挖矿进程的文件路径ls -l /proc/$PID/exe杀死挖矿进程kill -9 $PID删除挖矿进程对应的文件2清除其它相关恶意进程恶意进程与外部的C2服务器进行通信时往往会开启端口进行监听。执行如下命令查看服务器是否有未被授权的端口被监听。netstat -antp若有未授权进程按照如下步骤将其清除获取并记录未授权进程的文件路径ls -l /proc/$PID/exe杀死未授权进程kill -9 $PID删除未授权进程对应的文件还可以通过如下命令排查近期新增的文件清除相关木马find /etc -ctime -2 这里指定目录为/etc获取近2天内的新增文件lsof8、风险排查、安全加固对系统进行风险排查和安全加固避免挖矿木马卷土重来。互动话题如果你对网络攻防技术感兴趣想学习更多网安方面的知识和工具可以看看以下题外话题外话黑客/网络安全学习路线今天只要你给我的文章点赞我私藏的网安学习资料一样免费共享给你们来看看有哪些东西。网络安全学习资源分享:下面给大家分享一份2026最新版的网络安全学习路线资料帮助新人小白更系统、更快速的学习黑客技术一、2026最新网络安全学习路线一个明确的学习路线可以帮助新人了解从哪里开始按照什么顺序学习以及需要掌握哪些知识点。对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图学习规划。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。我们把学习路线分成L1到L4四个阶段一步步带你从入门到进阶从理论到实战。L1级别:网络安全的基础入门L1阶段我们会去了解计算机网络的基础知识以及网络安全在行业的应用和分析学习理解安全基础的核心原理关键技术以及PHP编程基础通过证书考试可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。L2级别网络安全的技术进阶L2阶段我们会去学习渗透测试包括情报收集、弱口令与口令爆破以及各大类型漏洞还有漏洞挖掘和安全检查项目可参加CISP-PTE证书考试。L3级别网络安全的高阶提升L3阶段我们会去学习反序列漏洞、RCE漏洞也会学习到内网渗透实战、靶场实战和技术提取技术系统学习Python编程和实战。参加CISP-PTE考试。L4级别网络安全的项目实战L4阶段我们会更加深入进行实战训练包括代码审计、应急响应、红蓝对抗以及SRC的挖掘技术。并学习CTF夺旗赛的要点和刷题整个网络安全学习路线L1主要是对计算机网络安全的理论基础的一个学习掌握而L3 L4更多的是通过项目实战来掌握核心技术针对以上网安的学习路线我们也整理了对应的学习视频教程和配套的学习资料。二、技术文档和经典PDF书籍书籍和学习文档资料是学习网络安全过程中必不可少的我自己整理技术文档包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点电子书也有200多本书籍含电子版PDF三、网络安全视频教程对于很多自学或者没有基础的同学来说书籍这些纯文字类的学习教材会觉得比较晦涩难以理解因此我们提供了丰富的网安视频教程以动态、形象的方式展示技术概念帮助你更快、更轻松地掌握核心知识。网上虽然也有很多的学习资源但基本上都残缺不全的这是我自己录的网安视频教程上面路线图的每一个知识点我都有配套的视频讲解。四、网络安全护网行动/CTF比赛学以致用当你的理论知识积累到一定程度就需要通过项目实战在实际操作中检验和巩固你所学到的知识同时为你找工作和职业发展打下坚实的基础。五、网络安全工具包、面试题和源码“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等感兴趣的同学不容错过。面试不仅是技术的较量更需要充分的准备。在你已经掌握了技术之后就需要开始准备面试我们将提供精心整理的网安面试题库涵盖当前面试中可能遇到的各种技术问题让你在面试中游刃有余。如果你是要找网安方面的工作它们绝对能帮你大忙。这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的如果大家有好的题目或者好的见解欢迎分享。参考解析深信服官网、奇安信官网、Freebuf、csdn等内容特点条理清晰含图像化表示更加易懂。内容概要包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…