网吧软件偷偷挖矿防范、排查以及解决的方法

网吧闲谈

网吧软件偷偷挖矿防范、排查以及解决的方法

2017-10-12 作者:小唐点击: 3,669次

　　前不久，挖矿持续火爆。有人半夜爆仓有人深山“挖矿”，甚至不少网吧都变为了挖矿根据地。腾讯安全反病毒实验室还曾发现一木马在网吧环境中迅速传播，攻入受害机器后运行挖矿程序获利。对于有些网吧软件偷偷挖矿，该如何防范、排查以及解决呢？

　　1、关于防范

　　坚决不使用小作坊、论坛、网盘流传的的去广告程序、破解版文化软件、某VIP特权软件。尤其是影视VIP类的。如有合理诉求可以花钱、或者找你们当地圈子比较靠谱的人。不定期更换服务器远程密码、关闭局域网高危端口、客户机系统的安全更想需要注意“高危的安全更新、浏览器远程执行漏洞更新”。

　　网吧软件偷偷挖矿的防范、排查以及解决

　　2、关于确认
　　从上述信息了解到，如果是挖矿程序他必定有2个特征。1、占用资源（CPU或GPU）2、连接矿池（矿池IP一般是国外IP），所以我们的思路就是看资源占用以及网络连接。
　　3、关于解决办法
　　（1）、使用网维大师进程禁止功能禁止相关程序。
　　（2）、路由器封掉这些IP地址信息。
　　（3）、可以从路由屏蔽掉各个矿池域名。
　　【案例分享】

　　客户机内有占用资源程序，并且路由器显示这台机器有连接挖矿矿池(碧海云盒、PA、流控大师都有此功能)。

　　网吧软件偷偷挖矿的防范、排查以及解决

　　【排查方法1】
　　（1）、先在路由器里确认连接的矿池IP、以及端口号，例如图1中192.168.0.162里面连接了一个172.104.76.21IP地址，并且端口是20581。

　　（2）、然后在客户机开始——运行——输入netstat -an看下当前客户机连接20581端口以及IP。

　　网吧软件偷偷挖矿的防范、排查以及解决

　　（3）、再输入netstat -an查看20581对应的PID信息。

　　（4）、在这台机器打开矿池平台页面，使用nslookup命令查看当前机器解析IP。

　　网吧软件偷偷挖矿的防范、排查以及解决

　　（5）、定位到PID信息后，再使用ProcessMonitor程序开机查找进程来源，操作方法为开机启动ProcessMonitor软件，最小化启动且没有对话窗口的参数为/Minimized /AcceptEula /Quiet，例如：C:\ProcessMonitor.exe /Minimized /AcceptEula /Quiet。推荐是创建一个快捷方式，然后把参数输入好了以后放启动位子，不要使用开机命令。因为启动太晚的话就没效果了。