打开微信扫一扫
各部门、学院和全体师生:
根据国家发改委等 11 部门联合印发的《国家发展改革委等部门关于整治虚拟货币“挖矿”活动的通知》(发改运行〔 2021 〕 1283 号)要求,为有效防范处置虚拟货币“挖矿”活动带来的风险隐患,深入推进节能减排,营造安全有序的校园网络环境,现就在全校范围内开展全面排查整治虚拟货币“挖矿”活动相关事项通知如下:
一、排查范围及内容
在办公室、实验室、机房、家属区、教师公寓及学生宿舍等学校网络环境中和学校物理空间内主动从事虚拟货币“挖矿”活动的部门、学院及个人;被“挖矿”木马控制进行虚拟货币“挖矿”的计算机、服务器。
二、排查方式及处理方法
感染“挖矿”木马会造成主机 CPU/GPU 明显占用过高,持续消耗大量电力、网络资源,系统运行速度变慢,无法通过重启解决问题。计算机和服务器应安装正版操作系统和应用软件,安装杀毒软件和主机防护类软件,定期检查 CPU/GPU 利用率和能耗情况,对已停止使用或已废弃的计算机和服务器进行关机、断网、断电。如发现计算机或服务器被“挖矿”木马控制,应重新安装操作系统。无法自行处理的,可与信息化中心联系。具体详见附件:“挖矿”木马排查处置方法和防范指南。
三、自查时间
2021 年 12 月 22 日至 2021 年 12 月 24 日 17 时
四、工作要求
各部门、学院和相关人员应立即开展全面排查,后勤部门利用节能监管平台等加强异常用电监测分析。严禁使用学校电力、算力和网络等国有资产从事虚拟货币“挖矿”非法获利活动,发现存在“挖矿”活动的计算机或服务器,应立即停止网络接入,并及时进行处置。
各部门、各学院应高度重视本次虚拟货币“挖矿”活动排查整治工作,压紧压实网络安全责任制,加强网络安全宣传教育,提高网络安全防范意识,及时发现和清理可能存在的病毒、木马和安全漏洞,避免本部门计算机或服务器成为虚拟货币“挖矿”活动的控制对象和跳板。
信息化中心联系人:曾涛,联系电话: 2593327 。
特此通知。
信息化中心
2021 年 12 月 22 日
附件:
“挖矿”木马排查处置方法和防范指南
一、什么是“挖矿”木马?
虚拟货币“挖矿”是指依据特定算法,通过运算获得虚拟的加密数字货币,常见的有比特币、以太坊币、门罗币、 EOS 币等。由于虚拟货币“挖矿”需要借助计算机高速运算,消耗大量资源,一些不法分子通过植入挖矿木马,控制受害者计算机或服务器进行虚拟货币“挖矿”。相比其他网络黑产,挖矿木马获利非常直接、非常暴利,“挖矿”木马攻击事件呈爆发式增长。
二、“挖矿”木马如何排查处置?
1 、排查方法: “挖矿”木马被植入主机后,利用主机的运算力进行挖矿,主要体现在 CPU 、 GPU 使用率高达 90% 以上,有大量对外进行网络连接的日志记录。
2 、处置方法: 一旦发现计算机或服务器存在上述现象,则极有可能已经感染了“挖矿”木马。可以通过以下步骤来删除:
( 1 )对恶意程序进行清除操作,由于“挖矿”木马具有很强存活能力,不建议手工查杀,建议使用杀毒软件 , 对主机进行全盘扫描和查杀,如无法清除,建议重新安装操作系统及应用软件;
Linux/mac 系统,也可参照以下说明进行排查:
A .排查是否存在异常的资源使用率 ( 内存、 CPU 等 ) 、启动项、进程、计划任务等,使用相关系统命令 ( 如 netstat) 查看是否存在不正常的网络连接, top 检查可疑进程, pkill 杀死进程,如果进程还存在,说明一定有定时任务或守护进程(开机启动),检查 /var/spool/cron/root 、 /etc/crontab 和 /etc/rc.local 。
B .查找可疑程序的位置将其删除,如果删除不掉,查看隐藏权限。 lsattr chattr 修改权限后将其删除。
C .查看 /root/.ssh/ 目录下是否设置了免秘钥登录,并查看 ssh_config 配置文件是否被篡改。
( 2 )使用防火墙关闭不必要的访问端口号或服务, 重启主机后,再测试是否还有可疑进程存在。
( 3 )系统登录设置强密码( 8 位以上,大小写字母、数字及特殊字符的组合)。
三、“挖矿”木马如何防范?
“挖矿”木马大多利用计算机常见漏洞,如未授权访问、远程命令执行漏洞、弱口令、零日( 0Day )漏洞等,做好日常防范非常关键。
1. 安装正版操作系统,及时更新操作系统补丁。
2. 安装安全防护软件并升级至最新病毒和规则库,定期检测计算机、服务器安全状况,定期全盘扫描,保持实时防护。安全检测范围包括但不限于:
( 1 )是否有新增账户、未知进程;
( 2 )定期检查系统安全日志,查看是否存在异常;
( 3 )安全防护软件是否存在异常拦截情况。
3. 多台终端设备不要使用相同的账号和口令,登录口令要有足够长度和复杂性,并定期更换登录口令。
4. 从正规渠道下载安装软件,不安装未知来源的第三方软件,不点击未知的链接。
5. 不打开来源不明的文档、邮件、邮件附件等。
6. 不浏览被安全软件提示为恶意或存在风险的网站。
7. 不使用未经杀毒的 U 盘、移动硬盘等存储设备。
8. 开启防火墙,服务器配置访问控制,仅允许授权 IP 地址访问。
9. 不共享使用上网账号,避免使用远程控制类软件,非必要不通过远程手段控制主机。
10. 如无法自行处理“挖矿”木马,尝试备份必要文件并重装正版操作系统。