挖礦軟件會(huì)占用電腦的大量運(yùn)算資源和電力資源，而且會(huì)引起主管部門(mén)的關(guān)注。局域網(wǎng)內(nèi)有電腦被安裝了挖礦軟件是一件讓人很頭疼的事情，對(duì)成百上千臺(tái)電腦一臺(tái)一臺(tái)的進(jìn)行排查簡(jiǎn)直就和大海撈針一樣，需要耗費(fèi)大量的時(shí)間和人力。所以很多網(wǎng)管人員面對(duì)上級(jí)部門(mén)發(fā)來(lái)的整改函一籌莫展。

因?yàn)榫钟蚓W(wǎng)出口做了NAT網(wǎng)絡(luò)地址轉(zhuǎn)換，上級(jí)部門(mén)只能檢測(cè)到公司的公網(wǎng)IP，所以只能靠公司內(nèi)部的網(wǎng)管人員來(lái)排查具體的終端了。最笨的辦法就是一臺(tái)電腦一臺(tái)電腦的檢查，通過(guò)檢查程序列表和任務(wù)管理器來(lái)找挖礦程序。

本文中，我將介紹如何用WSG上網(wǎng)行為管理中的“入侵防御”功能來(lái)檢查挖礦電腦。因?yàn)閃SG上網(wǎng)行為管理是部署在局域網(wǎng)內(nèi)部的，所以可以檢測(cè)到本地挖礦電腦的IP地址和MAC地址，從而準(zhǔn)確的定位到具體電腦。

1. 開(kāi)啟入侵防御功能

如下圖，在WSG上網(wǎng)行為管理的“安全防護(hù)”-“入侵防御”中，點(diǎn)擊“IPS檢測(cè)項(xiàng)”，就可以看到入侵防御的各個(gè)選項(xiàng)。

挖礦軟件的檢測(cè)主要在“木馬檢測(cè)”這個(gè)大分類下面，每個(gè)大類還有一些小類，點(diǎn)擊小類可以查看每個(gè)小類中的特征庫(kù)內(nèi)容。

點(diǎn)擊查看，可以查看每個(gè)小類的特征庫(kù)明細(xì)列表。

2. 查詢?nèi)肭址烙挠涗洑v史

在“入侵防御”的“記錄查詢”中，會(huì)記錄入侵防御的檢測(cè)歷史。您可以根據(jù)IP地址去定位實(shí)際的電腦。然后對(duì)這臺(tái)電腦進(jìn)行查殺整改。

3. 查詢電腦的MAC地址

在“入侵防御”中只記錄挖礦電腦的IP地址，如果電腦都是自動(dòng)獲取IP，還需要根據(jù)IP地址查詢MAC地址信息。在“查詢統(tǒng)計(jì)”-“上網(wǎng)記錄”的“IP-MAC記錄”中，根據(jù)“本地IP”搜索一下就可以查詢到電腦的MAC地址。