電腦一旦被安裝了挖礦程序，會(huì)帶來(lái)很多危害：占用大量的電力和運(yùn)算資源、拖慢機(jī)器、感染局域網(wǎng)內(nèi)的其他終端......所以，挖礦行為目前是被各級(jí)部門(mén)明令禁止的，一旦被上級(jí)部門(mén)檢測(cè)到有挖礦行為，很可能會(huì)被阻止互聯(lián)網(wǎng)接入直至整改完成。當(dāng)接到上級(jí)部門(mén)通告時(shí)，作為網(wǎng)管人員需要怎樣去處置解決這個(gè)問(wèn)題呢？

被上級(jí)部門(mén)檢測(cè)到，一般存在如下三種情況：

1. 訪問(wèn)了礦池或者虛擬貨幣服務(wù)器的目標(biāo)IP

2. 訪問(wèn)了“挖礦”域名（HTTP/HTTPS）

3. 查詢了“挖礦”域名（DNS）

挖礦的整改主要靠電腦殺毒或者重新安裝系統(tǒng)。但是，上級(jí)部門(mén)只能檢測(cè)到局域網(wǎng)總出口的IP地址，并不能識(shí)別終端的IP地址。當(dāng)網(wǎng)內(nèi)的終端數(shù)量比較多時(shí)，每臺(tái)電腦做病毒查殺的工作量可能會(huì)很大。更加合理的方案是在內(nèi)網(wǎng)部署一臺(tái)入侵檢測(cè)系統(tǒng)，通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析檢測(cè)，從而發(fā)現(xiàn)問(wèn)題主機(jī)。在本文中，我將以“WSG上網(wǎng)行為管理”為例，來(lái)介紹如何進(jìn)行內(nèi)網(wǎng)的挖礦木馬檢測(cè)。

WSG上網(wǎng)行為管理中內(nèi)置了“入侵防御”和“木馬檢測(cè)”這兩個(gè)安全防護(hù)模塊，這兩個(gè)模塊會(huì)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)通信進(jìn)行檢測(cè)還原，匹配其中的木馬特征，一旦匹配到特征時(shí)就觸發(fā)告警和阻斷。如下圖：

WSG上網(wǎng)行為管理有內(nèi)置的網(wǎng)址庫(kù)、應(yīng)用特征庫(kù)和入侵防御特征庫(kù)，其中入侵防御特征庫(kù)是基于snort的，木馬檢測(cè)分為以下幾個(gè)大類：

1. indicator-compromise: 檢測(cè)內(nèi)網(wǎng)被惡意軟件感染的終端。

2. indicator-obfuscation: 惡意軟件的模糊特征檢測(cè)。

3. indicator-scan： 檢測(cè)惡意軟件的掃描行為。

4. indicator-shellcode：檢測(cè)shellcode的執(zhí)行特征。

5. malware-backdoor：檢測(cè)后門(mén)端口的通訊特征。 如果某個(gè)惡意軟件打開(kāi)一個(gè)端口并等待其控制功能的傳入命令，則會(huì)出現(xiàn)此類檢測(cè)。

6. malware-cnc：此類別包含已識(shí)別的僵尸網(wǎng)絡(luò)流量的已知惡意命令和控制活動(dòng)。

7. malware-tool：此類別包含處理本質(zhì)上可被視為惡意工具的規(guī)則。

木馬檢測(cè)模塊還可以檢測(cè)各種挖礦、后門(mén)、病毒等各種木馬特征。如下圖：

一旦檢測(cè)到挖礦木馬后，會(huì)在“木馬檢測(cè)”的“檢測(cè)記錄”中，記錄檢測(cè)的IP地址等信息，從而您可以根據(jù)IP地址去定位實(shí)際的電腦。然后對(duì)這臺(tái)電腦進(jìn)行查殺整改。