各校园网用户:
根据学校网络安全相关管理规定及上级主管部门工作要求,现对我校校园网进行虚拟货币“挖矿”行为排查整治工作,相关要求通知如下:
一、 全面禁止利用校园网主动进行虚拟货币“挖矿”的行为。学校将对校园网“挖矿”行为进行常态化监控,如发现或被公安机关及上级监管部门监测到所属部门存在挖矿行为,将追究部门负责人及当事人责任。对于利用学校网络、电力、计算等资源主动进行挖矿的行为,一经发现,学校将对部门负责人及当事人进行严肃处理。
二、 对主动或被动虚拟货币“挖矿”行为开展全面自查整改。各部门需要对所管辖的计算机进行“挖矿”行为全面梳理排查(排查方法可参考附件)。排查范围包括不限于:部门自管的业务服务器、科研服务器、部门托管在网络中心的服务器、部门教师办公计算机、教工宿舍个人计算机、公共区域计算机、移动终端等。重点排查自助打印机、监控管理机、大屏管理机、部门服务器等长时间不断电的设备。
三、 开展广泛的网络安全宣传教育。各部门应加强对部门师生进行网络安全教育,提高网络安全意识,提升计算机安全防护能力,管理好所辖计算机的安全使其不受木马病毒侵害,杜绝任何形式的主动“挖矿”行为。
排查过程如发现疑似挖矿行为需要技术支持,可联系信息管理处,电话:89736607转2。排查整改时间截止到2022年01月09日,1月10日起信息管理处将对校园网所有终端进行扫描,如再发现“挖矿”行为将按上述通知要求进行追责处理。
信息管理处
2022年01月04日
附件:虚拟货币“挖矿”排查参考指南
计算机恶意“挖矿”程序又称“挖矿木马”,即不法分子通过黑客技术手段植入受害者的计算机中的恶意程序,实现利用受害者计算机的运算力进行挖矿、近而获取虚拟货币和利益的目的。当设备出现以下情况时可能被植入恶意“挖矿”程序:访问相关业务、应用和主机、服务时出现卡顿或变慢的情况;设备运行声音(主要来自风扇)明显增大的情况;
1) Windows系统排查:查看CPU使用率、查看网络连接进程
通常恶意“挖矿”程序会导致CPU使用率高于正常使用时的数值或达到100%。打开【任务管理器】查看CPU使用率,发现异常情况,如下图所示:
2) Linux系统排查:查看CPU占用、网络连接状态、定时任务等
通过top命令查看CPU占用率情况,并按C键通过占用率排序,查找CPU占用率高的进程,如下图所示:
通过netstat -anp命令可以查看主机网络连接状态和对应进程,查看是否存在异常的网络连接。
查看自启动或定时任务列表,例如通过crontab查看当前的定时任务,如下图所示:
3) 恶意挖矿程序处置:使用杀毒软件进行杀毒
由于挖矿木马具有很强存活能力,建议使用杀毒软件对主机进行全盘扫描和查杀,如无法清除的建议重新安装系统及应用;在防火墙关闭不必要的映射端口号或服务。