新闻公告
公告通知
当前位置是: 首页 -- 新闻公告 -- 公告通知 -- 正文

关于阻断虚拟货币“挖矿”等染毒主机(终端)网络连接的通知

发布日期:2022-03-18   点击量:

各位师生,

    根据国家相关部门管理要求,按照学校网络安全保障工作安排,我中心持续对校园网络开展风险排查工作。针对部分主机(终端)向校内外主机发起扫描、攻击,和虚拟货币“挖矿”等行为及时封禁。

    在学校范围内,任何虚拟货币“挖矿”行为都是被禁止的。请全体师生提高网络安全意识、规范上网行为,不以任何形式参与主动“挖矿”,同时做好防范,避免设备感染病毒造成被动“挖矿”。 

   “挖矿”病毒被植入系统后,利用主机的运算力进行挖矿,主要体现在 CPU 使用率高达 90%以上、产生大量对外网络连接记录。如何防范建议、如何发现和处置的方法如下,请老师、同学们参考。


   一、防范建议

1. 增强安全意识

  (1)安装必要的病毒防护软件,并及时升级病毒代码库、全盘查杀。学校正版化平台 https://software.bupt.edu.cn/ 提供病毒防护软件下载。

  (2)多台设备不要使用相同的账号和口令,登录口令要有足够的长度和复杂性,建议8位以上,大小写字母+数字+特殊符号组合,并定期更换登录口令。

  (3)不打开不明链接、来历不明的邮件附件、QQ或微信文件,不安装来历不明或盗版的软件。

2. 系统软件及时更新

在网设备不使用陈旧版本的基础软件和通用软件;及时更新操作系统、应用系统、数据库系统等官方补丁程序,修复存在的漏洞,做好整改加固工作。

3. 端口和服务最少够用

对在网设备以及设备上运行的服务、开放的端口进行清点,以最少够用为原则提供服务,权限分配采取最小权限原则,避免不必要的高级权限分配。同时做好相关服务的安全配置,对服务器使用高强度密码策略,避免弱口令问题。


二、发现和处置

挖矿病毒被植入主机后,利用主机的运算力进行挖矿,主要体现在 CPU 使用率高达 90%以上,有大量对外进行网络连接的日志记录。

1、Windows系统

可以通过查看CPU使用率是否超过90%,如超过即为异常主机。

对恶意程序进行清除操作,由于挖矿木马具有很强存活能力,不建议手工查杀,建议使用杀毒软件,对主机进行全盘扫描和查杀,如无法清除的建议重新安装系统及应用;

  同时,在防火墙关闭不必要的访问端口号或服务,重启再测试是否还会有可疑进程存在。

      2、Linux/Mac 系统

  可以通过使用命令“top ”查看主机的CPU使用率,若有进程占用过高即为异常主机。

  如果有以下情况也很有可能已经中了病毒:

 (1)网络连接中存在可疑外连IP(尤其是境外IP)

 (2)向内网其它主机发起大量爆破行为

 (3)使用pkill杀死进程,如果进程还存在,检查/var/spool/cron/root和/etc/crontab 和/etc/rc.local,说明已有定时任务或守护进程

 (4)查找可疑程序的位置将其删除,如果删除不掉,查看隐藏权限。lsattr chattr 修改权限后将其删除。

 (5)查看/root/.ssh/目录下是否设置了免秘钥登录,并查看ssh_config 配置文件是否被篡改。

 (6)在防火墙关闭不必要的访问端口号或服务,重启再测试是否还会有可疑进程存在。



                            信息化技术中心

                             2022.3.18





西土城路校区:

校园网/校园卡电话:62283039

校园卡办理地点:创新楼(教二楼东侧小灰楼)104

校园卡办理时间: 周一至周五8:30-17:00

沙河校区:

校园网/校园卡电话:66605135

校园卡办理地点:信息楼(雁南园西)203

校园卡办理时间: 周一至周五8:30-17:00

宏福校区:

校园网/校园卡电话:62283039

校园卡办理地点:综合办公楼217室

校园卡办理时间:周五8:30-17:00

Copyright © 2019 All rights reserved. 版权所有©北京邮电大学信息化技术中心