1.挖矿主机定位
当发现某个IP地址疑似存在挖矿行为时,结合安全设备相关告警信息、DNS日志、NAT日志等,根据疑似回连矿池域名及矿池IP地址,定位实际挖矿主机。
2.清除挖矿
终止挖矿进程,删除挖矿文件及服务,检查可疑计划任务及启动项,全盘查杀病毒,必要时重新安装操作系统。
3.内网排查
排查同网段其它计算机,确认是否存在类似挖矿事件并处理。
4.IP及域名封堵
在校园网出口封堵相关矿池回连域名及IP地址。
