日度归档:2022年2月16日

云平台挖矿病毒的核查,工作记录 2022-2-16

客户要求,进行一次挖矿病毒的核查,由于我们属于项目方,无权限登录用户虚机,故而,没有办法从虚机层面进行检查。

当时,想到另一个思路,来进行挖矿病毒的检查

原理,挖矿病毒在寄宿的主机上运行后,会连接到黑客设置的矿池,提交自身的算力。

基于上面的原理,今日,项目上,通过提取互联网资源区/边界出口防火墙的会话记录,筛选出其中南北向出口流量的记录,通过过滤目标IP地址的地理位置信息(因为国内打击挖矿,国内IP很少有矿池IP了),通过请求目标IP的返回信息(绝大部分矿池访问后,会提示矿池Active/Online),这样把整个云平台互联网区的对外会话请求都人工筛了一遍。