挖矿检测

一、终端检测

1.监控资源利用率

通常挖矿木马非常消耗计算机资源，计算机被植入挖矿木马后，CPU或GPU的使用率明显高于正常使用时的数值或达到了100%。

2.排查恶意软件及进程

排查计算机中安装的可疑软件，查看任务管理器中的可疑进程。

3.网络连接状态

netstat命令查看计算机网络连接状态和对应进程，查看是否存在异常连接。

4.自启动或计划任务

查看自启动或定时任务列表，例如通过crontab查看当前的定时任务，确认是否存在异常。

5.配置文件

查看主机配置文件，例如hosts文件、iptables配置等是否异常。

6.日志文件

查看主机及应用日志。

二、校园网检测

1.关注安全设备告警信息

及时查看安全设备告警信息，如果部署有防火墙或态势感知类产品，通常能够准确的告警主机回连挖矿木马相关的IP及域名，或者准确的给出挖矿木马家族标签。

2.识别挖矿流量

基于挖矿木马的流量特征、挖矿回连域名、挖矿回连IP等信息，通过流量分析，识别挖矿行为。