挖矿处置

1.挖矿主机定位

当发现某个IP地址疑似存在挖矿行为时,结合安全设备相关告警信息、DNS日志、NAT日志等,根据疑似回连矿池域名及矿池IP地址,定位实际挖矿主机。

2.清除挖矿

终止挖矿进程,删除挖矿文件及服务,检查可疑计划任务及启动项,全盘查杀病毒,必要时重新安装操作系统。

3.内网排查

排查同网段其它计算机,确认是否存在类似挖矿事件并处理。

4.IP及域名封堵

在校园网出口封堵相关矿池回连域名及IP地址。