各位师生，

    根据国家相关部门管理要求，按照学校网络安全保障工作安排，我中心持续对校园网络开展风险排查工作。针对部分主机(终端)向校内外主机发起扫描、攻击,和虚拟货币“挖矿”等行为及时封禁。

    在学校范围内，任何虚拟货币“挖矿”行为都是被禁止的。请全体师生提高网络安全意识、规范上网行为，不以任何形式参与主动“挖矿”，同时做好防范，避免设备感染病毒造成被动“挖矿”。 

   “挖矿”病毒被植入系统后，利用主机的运算力进行挖矿，主要体现在 CPU 使用率高达 90%以上、产生大量对外网络连接记录。如何防范建议、如何发现和处置的方法如下，请老师、同学们参考。

   一、防范建议

1. 增强安全意识

  （1）安装必要的病毒防护软件，并及时升级病毒代码库、全盘查杀。学校正版化平台 https://software.bupt.edu.cn/ 提供病毒防护软件下载。

  （2）多台设备不要使用相同的账号和口令，登录口令要有足够的长度和复杂性，建议8位以上，大小写字母+数字+特殊符号组合，并定期更换登录口令。

  （3）不打开不明链接、来历不明的邮件附件、QQ或微信文件，不安装来历不明或盗版的软件。

2. 系统软件及时更新

在网设备不使用陈旧版本的基础软件和通用软件；及时更新操作系统、应用系统、数据库系统等官方补丁程序，修复存在的漏洞，做好整改加固工作。

3. 端口和服务最少够用

对在网设备以及设备上运行的服务、开放的端口进行清点，以最少够用为原则提供服务，权限分配采取最小权限原则，避免不必要的高级权限分配。同时做好相关服务的安全配置，对服务器使用高强度密码策略，避免弱口令问题。

二、发现和处置

挖矿病毒被植入主机后，利用主机的运算力进行挖矿，主要体现在 CPU 使用率高达 90%以上，有大量对外进行网络连接的日志记录。

1、Windows系统

可以通过查看CPU使用率是否超过90%，如超过即为异常主机。

对恶意程序进行清除操作，由于挖矿木马具有很强存活能力，不建议手工查杀，建议使用杀毒软件,对主机进行全盘扫描和查杀，如无法清除的建议重新安装系统及应用；

  同时，在防火墙关闭不必要的访问端口号或服务，重启再测试是否还会有可疑进程存在。

      2、Linux/Mac 系统

  可以通过使用命令“top ”查看主机的CPU使用率，若有进程占用过高即为异常主机。

  如果有以下情况也很有可能已经中了病毒：

 （1）网络连接中存在可疑外连IP（尤其是境外IP）

 （2）向内网其它主机发起大量爆破行为

 （3）使用pkill杀死进程，如果进程还存在，检查/var/spool/cron/root和/etc/crontab 和/etc/rc.local，说明已有定时任务或守护进程

 （4）查找可疑程序的位置将其删除，如果删除不掉，查看隐藏权限。lsattr chattr 修改权限后将其删除。

 （5）查看/root/.ssh/目录下是否设置了免秘钥登录，并查看ssh_config 配置文件是否被篡改。

 （6）在防火墙关闭不必要的访问端口号或服务，重启再测试是否还会有可疑进程存在。

                            信息化技术中心

                             2022.3.18