近年来,随着虚拟货币市场的波动与高额利益的驱动,各类虚拟货币挖矿活动时有发生,不仅消耗大量能源资源、推高用电成本,还对正常的生产生活秩序、甚至网络安全构成潜在威胁,为有效遏制虚拟货币挖矿活动,保障信息基础设施安全稳定运行,营造清朗的网络环境,我们近期组织开展了专项排查工作,现将本次排查工作总结如下:
高度重视,精心组织排查工作
- 加强领导,明确责任: 成立了由相关领导牵头,信息技术部门、安全管理部门及业务部门参与的专项排查工作小组,明确职责分工,制定详细的排查方案和时间表,确保排查工作有序、高效推进。
- 制定方案,突出重点: 结合本单位/本地区实际情况,制定了针对性的排查方案,排查重点包括:单位内部所有服务器、终端计算机、网络设备、云计算资源以及对外提供的网络服务等,重点排查是否存在利用上述设备资源进行虚拟货币挖矿的行为。
- 技术先行,工具辅助: 依托技术手段,采用专业挖矿行为检测工具、日志分析系统、网络流量监测平台等,对全网设备进行扫描和分析,提高排查的准确性和效率,结合人工核查,确保无死角。
多措并举,深入排查挖矿风险
本次排查工作主要采取了以下几种方式:
-
全面扫描与定向检测相结合:
- 端口扫描: 对网络内所有设备进行常用挖矿程序端口(如3333、4444、8888等)的扫描,发现异常开放端口。
- 进程检查: 逐台检查服务器和终端的运行进程,重点关注CPU占用率异常、可疑进程名(如“minerd”、“xmrig”、“cpuminer”等)。
- 文件特征检测: 扫描设备中是否存在已知的挖矿程序文件、配置文件、脚本等。
- 网络流量分析: 监控网络流量,分析是否存在指向已知矿池(Pool)的异常连接和高频数据传输。
-
系统日志与安全审计联动:
- 查看操作系统、安全设备、应用系统的日志,分析是否存在异常登录、资源滥用、权限提升等与挖矿相关的蛛丝马迹。
- 结合安全审计系统,对用户行为进行追溯,定位可能的挖矿行为发起者或源头。
-
重点区域与关键设备深度核查:
- 对数据中心、高性能计算集群、研发服务器、公共机房等重点区域进行重点排查。
- 对互联网出口服务器、对外提供服务的Web服务器、数据库服务器等关键设备进行深度安全检测。
-
