一、挖矿木马是啥玩意儿？

这里以比特币为例，所谓“挖矿”就是，将一段时间内比特币系统中发生的交易进行确认，并记录在区块链上，形成新的区块，挖矿的人叫做矿工。简单来说，挖矿就是记账的过程，矿工是记账员，区块链就是版本。比特币系统的记账权利是去中心化的，也就是每个矿工都有记账的权利，只要成功抢到记账权，矿工就能获得系统新生成的比特币奖励。从这个意义上来说，挖矿就是生产比特币的过程。

那么挖矿木马就是攻击者利用各种手段将挖矿程序植入计算机中，利用其计算机的算力进行挖矿，从而获取利益。

二、挖矿木马分析

挖矿木马最大的一个特征就是cpu资源占用非常高，top命令查看cpu情况，可以看出xmr这个进程占用cpu资源很高。

pe -ef查看运行进程,发现tmp下存在可疑文件。

木马执行后释放的文件

木马样本部分截图

获取到木马样本后我们可以借助一些分工具或平台对样本分析。

通过样本分析，此挖矿木马会释放文件到/usr/.work/和tmp下，创建计划任务，向authorized_keys写入自己的key，并发起横向爆破等行为。

三、挖矿木马查杀

将矿池加入黑名单清除释放的文件，删除写入的密钥。

检测是不是占有CPU资源接近100%以上的过程，找到过程对应的文件，确认是不是属于挖掘矿木马，Kill结束木马进程。

检测“/var/spool/cron/root”、“/vat/spool/cron/crontabs/root/”等文件中是不是有恶意的脚本下载命令

四、挖矿木马防护

及时为系统打补丁。避免漏洞攻击。

安装杀毒软件防御挖矿木马攻击。

使用强度高的登录密码以及Web应用、数据库登录密码，防御弱口令爆破攻击。

不打开来历不明的文档，以及带有图片、文件夹、文档、音视频等图标的文件。