背景:挖矿木马为何盯上你的服务器
加密货币价格攀升,“挖矿收益”远高于旧式僵尸网络的广告点击或垃圾邮件收入,因此攻击者将高算力服务器当成“矿机”。一旦入侵成功,CPU/GPU资源被长期占用,硬件寿命缩短,业务稳定性骤降。本文围绕“挖矿检测”“挖矿防御”“挖矿木马”三大关键词,给出流量层+主机层的全流程方案。
流量层:一眼识别Stratum挖矿通信
主流挖矿协议速览
Stratum 协议(2012 年提出)
- 基于 TCP/JSON-RPC
- 典型指令:
mining.subscribe、mining.authorize、mining.submit
门罗币精简协议
- 通过一次
login完成认证与任务下发 - 重复字段:
jsonrpc、id、login、submit、seed_hash
- 通过一次
明文检测思路
- 特征串匹配:利用 IDS/IPS 抓取含
mining.*字符串的包。 - 统计规律:登录/认证包极少,任务下发和提交包高频出现。
加密通信的解法
当矿池启用 TLS 后,流量无法直接解析,需转到域名与证书维度:
- 建立 TOP 矿池域名证书库。
- 在 TLS 握手阶段匹配 SNI 或证书指纹,发现可疑会话即告警。
主机层:三步链路上布控
攻击链可概括为 入侵 ⇒ 落地 ⇒ 横向,每个阶段都有黄金检测点。
阶段 1:漏洞利用与木马下载
- 命令审计:常见
wget http://x.x.x.x/xmrig或curl -fsSL。 - 异常进程:短时间内高进程启动失败次数、父子进程关系混乱。
阶段 2:持久化与挖矿启动
- 常驻痕迹:计划任务 (
crontab -l)、Systemd Service 中写入可疑脚本。 CPU/GPU/IO 异常:
- 传统币种:CPU 长驻 80%+
- Chia/Filecoin:磁盘疯狂读写,
df -h显示容量骤减
- DNS 解析:实时比对矿池域名库,发现
*.nanopool.org、*.f2pool.com即告警。
阶段 3:横向渗透
木马常附带弱口令字典与内网扫描模块,通过 SSH/RDP 爆破 扩散。
- 东西向流量监测:发现同一账号短时间对多台 22/3389 端口发起爆破即可阻断。
- HIDS 联动:爆破成功后立即触发进程链溯源,定位入侵源头。
纵深防御体系:情报+资金追踪双轮驱动
1. 威胁情报共享
- IOC 库每日更新,覆盖木马 MD5、C2 域名、URL、钱包地址。
- DNS Sinkhole:一次性封禁已知矿池,降低 0day 木马危害窗口期。
2. 资金链溯源
虽然加密货币鼓吹匿名,但一旦转入交易所即可追踪:
- 链上聚类:相同黑客控制的多笔 UTXO 会在大额出金时聚合。
- 链上分析服务:将可疑地址与实名账户绑定,形成司法证据链。
常见问题解答 (FAQ)
Q1:内网已经用了 TLS 解密设备,是否还需要专注域名+证书检测?
A:需要。TLS 解密成本高且可能触碰法规红线,而 SNI/证书检测近似纯旁路,零侵入即可见效。
Q2:云主机 4 vCPU,即便被植入挖矿木马,影响真那么大吗?
A:挖矿程序默认占满可用核心,4 vCPU 情况下业务延迟会增加 300% 以上,SLA 直接击穿。
Q3:只针对 CPU 占用监控会不会漏检?
A:会。Chia、Filecoin 等“硬盘挖矿”币种几乎不占用 CPU,需同时监控磁盘 IO 及网络流量异常。
Q4:漏洞已打补丁,是不是就能高枕无忧?
A:挖矿木马也在进化,会利用合法运维工具的签名绕过白名单。永远保持“补丁+行为检测+情报”三层叠加防守。
Q5:开源 WAF 规则够用吗?
A:规则库更新节奏难追变体,需要引入 沙箱+AI 模型 进行可疑脚本静态+动态综合分析。
Q6:发现挖矿后操作顺序?
- 立即隔离主机
- 保存内存镜像与进程树用于取证
- 清除持久化项(计划任务、启动项)
- 横向排查同网段机器
- 复盘并加固入口漏洞
结语:把挖矿木马从“猫捉老鼠”变成“关门打狗”
通过 宙斯盾流量检测 + 洋葱EDR 的双引擎联动,可在秒级发现 Stratum/XMR 协议异常、分钟级定位疑似挖矿进程,小时级完成全网隔离。如希望将上述能力集成到现有 SOC,👉 查看轻量级 SDK 接入方式,无需二次开发即可上线!
挖矿治理需要全行业协作:共享威胁情报、共筑防御纵深、共追资金链条。让我们携手把木马早日请出你的机房。