“比特币暴涨引起挖矿木马成倍增长，公司怎么冲破“木马围城”？”

本篇文章1680字，读完约4分钟

资料来源: 51cto

受比特币暴涨的影响，各类数字虚拟货币的市值大幅增加。 虚拟货币繁荣背后的黑色数字产业链已经转向开采行业，开采木马仍是公司服务器沦陷后移植的主要木马类型。

最近，根据腾讯安全威胁信息中心态势感知系统提供的数据结果，与云主机开采木马样本量相比明显上升，开采集团管理的ip、domain广度和云上开采威胁数也大幅上升，开采特洛伊

假币高涨背后的新老开采家的协助下攻击力增大

在优势的驱动下，挖掘木马将越来越多的公司顾客作为攻击目标。 根据腾讯安全威胁信息中心态势感知系统提供的数据，老牌挖矿户目前非常活跃，同时比较云主机的系统和应用部署特点开发新的攻击代码。 典型的情况是，systemdminer、h2miner两个开采组利用postgresql的非法访问漏洞和postgresql验证码利用漏洞攻击云服务器。 这意味着漏洞服务器有可能被多个开采组扫描入侵，如果不同开采木马火力全开，服务器有完全瘫痪的风险。

然后，新的开采集团也相继出现。 其中，开采家族z0miner于年11月2日被发现使用weblogic的非法命令执行漏洞进行攻击。 这次攻击是在weblogic官方发布安全公告(.10.21 )后15天内发起的，这也从侧面反映了开采木马集团对新型漏洞武器的迅速反应。

以上开采行为归根结底是由于一些主机对系统没有合理的访问策略控制，存在很多安全缺陷。 非法黑客集团乘机大规模入侵服务器，嵌入木马，利用主机系统计算资源开采数字加密货币获利。

进一步升级攻击手段的僵尸互联网助长了采掘木马的蔓延

传统上，删除恶意软件意味着主机不再受到安全威胁。 但是，今天的僵尸互联网与此不同，它由主机以外的组件组成，清除恶意软件或修复受感染的机器并未完全清除。 一个僵尸互联网可以有多个恶意软件家族，多个恶意软件家族可以是不同僵尸互联网的成员。 因此，僵尸互联网也加入开采阵营也会增加公司客户面临的安全风险。

而且，经过漫长的岁月，开采木马集团的开采手段也越来越成熟。 主机安全系统曾经检测到prometei僵尸互联网和teamtnt开采木马对云服务的攻击。 其中，teamtnt挖矿木马已经完成变种更新，prometei僵尸互联网变种与linux系统进行攻击，用ssh弱密码爆破登录服务器，然后将僵尸木马uplugplay 新变种对数据回复和横向移动的模块代码进行了升级优化，表明黑产集团正在继续改善木马功能模块，有扩大危害的迹象。

采掘木马作为当前主机面临的最普遍的威胁之一，是检查公司安全防御机制、环境和技术能力水平的关键。 如何有效应对这种安全威胁，在此过程中促进公司互联网安全能力的提高，应该成为公司安全管理者和互联网安全供应商的共同目标。

基本上是安全对抗加剧从而切断源头

开采木马成倍增加，高危漏洞频繁爆发，当前的安全形势不容忽视。 随着安全措施的发展，网络攻击更加激烈，特别是企业的业务云增加了攻击面，使安全环境更加复杂。 因此，腾讯安全专家警告公司要提高对网络攻击的重视程度，提高对开采木马的防护力，构筑更坚固的新闻安全防线。

腾讯安全专家建议为linux服务器ssh、windows SQL服务器等主机访问入口设置强大的登录密码。 向APP应用程序(如redis、hadoop yarn、docker、xxl-job和postgres )添加授权验证以控制访问对象； 如果服务器中部署了weblogic、apache struts、apache flink、thinkphp等安全漏洞频繁的服务器组件，则由相应组件的官网和大型安全厂商发布

另外，腾讯的安全性与目前的安全状况进行了比较，制定了一系列的处理方案。 主机安全系统和云防火墙( cfw )都支持检测相关的流行开采程序及其使用的rce漏洞、非法访问漏洞、弱密码爆破攻击，从而防止云上终端的病毒、入侵 讯云安全运营中心可以为用户提供漏洞信息、威胁发现、事件处置、基线合规、泄漏监测、风险可视化等能力。 公司可以通过引进适当的安全产品来拦截开采木马攻击，提高安全防御能力。