「解密云原生安全」如何高效破解挖矿攻击难题？原创

尊敬的线上嘉宾大家晚上好，欢迎来到原引擎云原生安全实战加速舱第一期的直播间，云如何解挖矿攻击难题？我是今天的主持人，腾讯全牌营经陈娟娟。近年来，全球网络安全形势日趋严峻，A papt攻击、勒索、病毒、挖矿、木马、供应链攻击等各种新型攻击手段层出不穷着千行百业的数字化转型的进程。那腾讯安全团队发布的报告显示，在公有云的攻击事件中，以挖矿为目的的入侵占比达到了54.9%。

挖矿木马的危害不容小觑，那不仅呢会消耗企业电力和服务器计算资源，还会对关键数据造成严重的威胁，导致数据泄密、病毒感染等更严重的安全问题。那本期直播呢，我们将从挖矿作为切入点，邀请腾讯安全资深专家带来挖矿防护的最佳实践和实操演练。首先给大家介绍我们今天线上分享的两位重要级嘉宾，他们分别是腾讯云安全服务应急专家高志鹏。

腾讯原生安全产品专家赵志广两位的两位提醒大家，在演讲中间我们为大家准备了丰富的礼品，我们将在踊跃参与互动的用户中选出20位幸运观众，欢迎大家积极参与我们的互动。那我身后的背景板上有我们此次活动的微信群二维码，欢迎大家扫码入群，参与我们咱们之后的互动环节。好的，首先让有请腾讯云安全服务应急专家高志鹏为我们介绍挖矿攻击的常见手法演示。哦，稍等共享一下屏幕。

嗯，大家好啊，我是来自腾讯安全云顶实验室的安全工程师高志鹏啊，我这边主要从事呃，云上应急响应工作。今天很高兴给大家带来来挖矿攻击的常见手法与过程演示的分享，在这个分享之前呢，我想问大家一个问题，大家有没有遭遇过挖矿攻击？呃，挖矿攻击其实是比较常见的一个呃上的一种攻击方式。啊，我今天呢，我在。开始之前我主要是说我以下的今天的这个分享主要是从以下三个呃部分来进行展开，就什么是挖矿攻击，然后以及挖矿攻击的常用手法和挖矿攻击的演示。

啊，下面我们来进入到第一个环节，就是什么是挖矿。讲到这个挖矿呢，我想先提到一点，就是说那什么是挖矿。啊，挖矿的话，挖矿是指透过执行工作量证明其他类似的挖矿算法来获取加密货币。这是一段非常官方的解释啊，我相信大家啊，听了这段话可能跟没听是一样的感觉啊，那我现在举一个非常通俗易懂的例子啊，来给大家讲解什么是挖矿啊，这里我举一个例子。呃。呃，挖就好比啊，有一个人，他出了一道题。如果你能在第一时间内诶，嗯，截出来，然后提交正确的答案，然后呢，它就会给你一定量的奖励，而这个奖励呢，引申到我们现实当中啊，就是加密货币，它就会奖励你一定量的加密货币。

嗯，那其实那如果那这个求解的这个过程，比如说我们去算题，求解这个过程的这个过程呢，就叫做挖矿。当然这个挖矿的这个过程呢，它是需要比较CPU资源资源的。那什么是挖矿？呃，在用户不知情或者未授权的情况下，占用受害者的这个系统资源或者网络资源来进行挖矿，从而获取加密货币来。呃，这里我刚才之前有提到过，我们通过呃挖矿，这个是比较耗费这个计算资源的，但是呢，呃，比如说像一些黑客，呃，他可能手上没有那么多的计算资源，他可能通过一些漏洞或者其他途径的方式呃来进行攻击，比如说我通过漏洞入侵了别人的服务器，然后占用的别人的主机的CPU来进行啊，来为他自己挖矿来进行谋利，那么这个过程呢，我们就叫做挖矿攻击。

啊，现在我们已经知道这两个概念之后呢，我们来讲一讲这个挖矿攻击的常用手法。这里呢，挖矿攻击的常用手法主要分为了四大类啊，第一者，第一类是应用捆绑。嗯，这个呢，我举个例子。像应用捆绑这一类的挖矿攻击啊，就好比比如说你去网上的第三方网站去下载了一个盗版破解的软件。其实这些软件呢，它其实是捆绑了一些挖矿程序在里面的，也就是说你下载了这些挖，呃，这些应用，呃，第三方的破解程序在执行的同时，其实他也在后台去执行了这个挖矿木马。然后通过这种方式来进行挖矿。啊，我可以下面这张图啊，这张图就是之前去年的时候，腾讯，就是之前腾讯安全他发的一篇文章，就是说像游戏私服，它捆绑这个挖矿木马，以及已已感染5000台服务器电脑，就是类似于的这种通过这种方式捆绑安装啊，这种方式来去下发执行这些挖矿木马程序。

这是非常常见的一种挖矿攻击方式。然后我们再看第二，第二类像暴力破解。啊，暴力破解呢，这个就像我们生活当中，我们平时经常会用到很多的一些像口令，比如说我们会使用到的一些密码，像包，包括123456，或者像D之类的这种非常简单的密码，那么黑客呢，它通常会去在互联网上去对外扫描大量的一些主机，然后以及对应的端口，嗯，他们提会提前，比如要收集好一些弱口令的字典，然后来对这些端口来进行一个暴力破解。那一旦暴力黑客暴力破解成功，他就会拿到这些服务器主机的权限。

然后进一步就会去植入这个恶意的挖矿程序来进行挖矿。啊，这里像这张图，就是我去就是比如说我们去爆破一台主机，用这些，比如这一列像pass这个后面这一列就是我们收集的一些常用的一些口令。那比如我们爆破成功之后，黑客他就会直接植入的挖矿程序了。就是比较常见的一类。暴力破解的攻击方式。啊，第三类像漏洞利用，也是这个挖矿攻击非常主流的一种手段，这个这里的漏洞利用呢，主要是分成两类，像远程代码执行漏洞和为授权访问漏洞。这里我们看这张图。比如像我们，嗯，前段时间像去年的一些漏洞，一些比较常见的R漏洞，像啊这个还有以及像一些和CK的授权访问这一类漏洞，都是这些挖矿挖矿组织，嗯，非常的一些漏洞，因为这漏洞往往能取得组织上比较高的一些权限。

然后他们通过这类漏洞啊，去攻击主机之后去下他们的一些挖矿脚本，然后挖矿脚本呢，然后他们又会去在机器上去对外进行扫描，然后不断的去扩大自己的战果，然后来进一步提升自己的挖矿的一个效率。这是非常常见的一种攻击方式。我们再看第四类呢，是挖矿网站，这类就。就是比如像有一些部分的恶意网站，会在自己站里面去插入这个挖，用户浏览到这些这些网网页的时候，它就会占用你系统的CPU来进行挖，而你当你关闭掉这个网页之后呢，它又会恢复正常，我给大家看一个图，这张图里面上面的这这。

这张图呢是呃，比如说某个网站里面，它植入的一个JS代码，这个J代码，它其实就是去呃拉取那个挖矿网站，然后对对你的用你的这个电脑的CPU来进行挖矿，下面这张图。我们可以看到这个图的前面CPU这一部分，比如说我们在打开这个网页之前，它可能CPU是处于一个正常消耗的一个状态，然后呢，当你打开这个网站之后，它就会你的CP就会飙升，可能会到100%啊，这就是有这种情况，不知道大家有没有遇到过，前几年的时候，比如说你去浏览一些网站，你会发现你打开这个网站之后，你的电脑变得非常卡。然后你的可能风扇也起来了，然后这种时候呢，但是你会发现，假如说你把这个网站一旦关闭之后，你的电脑恢复正常了，那么你就很有可能是遭受了这种挖网站的这种攻击。但是像像逐渐的像这几年这种挖网站挖矿其实变得就变得非常少了，因为大部分的其实主流浏览器都已经能识别到这种挖矿的代码，已经可以自动拦截。

所以现在就是这四常见的一种挖矿攻击的方式。介绍我看一下。那么现在我们来进入，就是说我们今天比较核心的一个环节就是挖矿的演示。啊，这里我举了一个例子，就是我拿了一个前段时间非常流行的一个挖矿，挖矿家族TNT为例。呃，像他的话，他会他他的这个挖矿攻击呢，主要我主要分为了三大部分，第一部分他会去，比如说去扫描公网上啊开放的6379这种未授权访问漏洞的主机。他会这些漏洞，存在漏洞的主，然后去执行他恶意脚通过授洞比命密钥。

然后，然后去执行他们的一个挖矿程序。然后呢，像到了第二部分，他们就会去，比如像安装一些或者PN这一类的，呃，就是就是端口扫描工具，比如他会去对外去扫描公网上其他存在漏洞的这个，呃，主机，比如像6379或者2375这些端口，高危端口，他就会去对外扫描，然后进一步去下发执行他们的这些恶意脚本啊第三步呢。呃，就是我刚才提到的，就是对外去扫描他们这些恶意的端口，去植入他们在新的机器上面去植入他们的这个挖矿程序，不断的去扩大战果，就相当于是他入侵了你的机器之后，然后再用你的机器作为跳板去攻击外面的其他机器，就大概是这样一个流程。

啊，今天呢，我们是用了一个OS7的一个靶机，这个靶机呢，它是存在一个SH的口令。啊，那我们今天的这个攻击的挖矿的演示，就是我们通过拟黑客通过令入服务器，然后植入挖矿程序的一个过程。好，这里稍等一下，我切到我的另一个页面上去。哎，大家现在能看到新的画面了吗？好的，我先给大家就是做一个简单的演示。

比如说我们是这是一台正常的服务器。啊，我们通过h top这个命令啊，我们可以看到主机上的整个一个程链以及一个C情况。啊，像这台机器，它是一个四核8G的机器，它正常的情况使用情况下，它这个CPU占用非常低的，是一个处于一个空闲的状态。那么我们现在就演示一下。我们通过。啊，这里我是提前准备好了一个口令的一个字典，像一拓的一些口令密码。然后那那台机上呢，我们是提前设好了一个口令。我们去模拟黑客进行爆破攻击。啊，我们现在是使用这个最常见的一个叫德拉的一个工具，它其实中文译过来叫九头蛇，呃，相信做安全的小伙伴可能比较熟悉，他就是一个呃，可以用于各种协议的一种爆破工具，然后我们加载这个字典，对root用户进行一个爆破登录。

啊，我们开始执行。啊，我们现在可以看到，其实我们现在其实已经爆破成功了，我们通过这个。口令密码登录成功。相当于现在我们是已经模拟黑客已经已经通过口令出服目标服务器的一个密码。啊，那这个时候呢，我们再去模拟去执行下挖矿脚本。这里我给大家看一下这个。提前准备好的一个挖矿脚本。这里。

这是一个非常常见的一个挖矿脚本，比上他会去写入系统服务。然后还有他的一些常杀掉一些常见的一些进程，以及它对应的一些其他的一些挖矿程序。现在我们开始执行，就是对目标机器执行这个挖矿脚本。因为我们现在是有的密码的，我们刚才破成功的密码进行。现在挖矿脚本已经开始执行了，现在这边呢，其实是。在运行这个挖矿的一些脚本。现在看到它已经运行完了。但是呢，我们来到这台挖矿机器上面来看一下。啊，我们这边其实已经可以看到，就是说我们这台植物挖机。

那遇到这种情况我们该怎么办呢？像这种就是这是一个最常的一个挖矿攻击的一个案例。遇到这种情况下，我们先来看一下。我相信大家也会遇到这种类似的情况，但是由于今天的时间有限呢，我不可能，呃，就是没办法，就是说呃，一步一步的去演示该如何去手动的去清理这个挖矿的程序，我这里就是用我们实验室。之前我们开自研开发的一套挖矿木的清理工具，来对这个挖矿木进行清除，我们可以执行一下这个的一个工具。我们可以看到，其实它在执行这个工具之前呢，我们会一些会提示，就是说挖木存在不确定性，我们最好在清理之前是要做这个快照的备份操作。

预算我们来。运行这个工具。我们现在可以看到，其实。现在我们运行这个挖矿木理工具之后，这个矿实很就已理了时，我们再看一下这个C才从四。CP的占已经非常。好，我们来看一下，就是说整个一个挖矿木马的一个流程。

比如像挖矿木马，它通常会比如持一些系统的一些，就是像搜这些，或者是像一。所以说通常我们被植入挖矿木马之后，我们很多命令都是没办法使用的，比如像我们常见的一些LS命令，或者像band啊，这些命令可能都会被这些挖进行替换，所以我们最常见的一种操作就是直接通过使用来代替系统命令进行操作，比如像我们像在这里我们是用使用b box来代替了系统命令劫持，我们在清理清理挖矿之前，我们会先暂停掉所有的定时任务，因为像最常见的像挖一些挖矿木马，他会把自己的一个。呃。啊，就是一个拉起的操作，写在计划任务里面，它可能每分钟会去远程拉起一次，这就是我们最常见的，为什么有些挖矿木马，你不断的Q，它始终不掉，这就是因为它首先它是写了这个服务进程，就是写到服务的启动项里面，然后第二个又是写入到它的一个计划任务里面。

像这里我们可以看到它其实是写了一个ta agent service，我们看一下这个这个文件。其实这里面就是执行这个挖矿木马的一个本身的一个载体。就是启动这个服务项之后呢。我们每次去kill他。可有这个挖矿进程，它相当于都会有守护进程，再把这个挖矿木马给起来。所以我们就先停掉服务之后，然后把我们刚才的那个占用率非常高的这个挖矿进程先给它杀掉，杀了之后呢，比如再去做一些其他操作，比如任务的像启动清理，最后这里像一个ETC下的点system，点个件。

它就是一些预加载的色文件，比如像我们之前提到的，像一些命令劫持不可用的情况，就是通过加载这种加载文件来实现的。这里呢，我们都对进行处理，然后比如理进程信息，比如命令是否被替换，如果替换了，我们就把它重装回去。啊。然后最后我们再去安装一些云和云监控，安装完这些操作的话，其实我们整个挖矿木马的这个清理就已经完成了。就大概是这样一个挖矿木马的一个入侵和清理处置流程。现在我们再切回来看一下。好，我们现在再回到PPT里面，我们看。

就是刚才这个挖矿攻击演示。像我们就是CPU负载的这种情况。其实我们。嗯。这种场景其实非常常见的，但是呢，我们怎么在第一时间知到这些我们机器被挖的呢？啊比就比如我左边这张。这这是我们之前测试的时候去截的一个图，就是我们在主机上去，比如说模拟黑客去执行的这个挖矿的这个程序之后，他会向我们主机安全，他会第一时间发短信告知我们，就是说疑似你的服务器被入侵了，比如像我们这里上面这里，他去请求了这个恶意的域名IP。然后呢，他去检测到，就是说系统下面存在了一些的文件，比像这些文的MD值可能就是一个标签。哦，检之后呢，啊云会第一时间发短信通知我们这边，方便我们在就是在最短时间内可以及时去响应处理这些。

嗯，可能存在的挖矿的问题。所以我们来看到我们来来另外一边就是当我们出现这个问题的时候。我们。发现了机器被入侵挖矿，那么有个问题就是说我怎么知道这个挖矿它是通过什么方式入侵进来的呢？啊，这也是一个问题。因为因为我们只是清理了问题，但是没有把这个漏洞给修复，那这个问题永远是治标不治本的，所以呢，我们可以来到就是主机安全的控制台。我们可以来看到这里。这个是就是腾讯云主机安全的控制台，这边呢，就是就是之前我们在测试的时候，我们去模拟黑客，通过暴力破解去登录，拿下了我们这台主机的权限，我们可以看到这一条。

这里是我刚才使用的攻击的那个IP，他通过SH暴力破解，然后录了我们这台务器。在然后我们想知是录之黑客入之后做些操作们在里。就是这个去远程下载这个挖矿木马的一个脚本，然后对一些系统的一些关键文件进行加锁，比像这个LD.lo这些加载的一个文件。然后呢，比如说他会去。做一些其他的操作。比如运行的一个挖矿木马的程序。然后。以以及它类似的一些操作。

在我们在我们这个控制台呢，这个就是攻击溯源的这个，呃。里面我们可以非常的清晰，就是说知道黑客是怎么通过通过什么方式来我们服务植入挖。就方便我们做一个事后的一个复盘。以及我们就旁边这一列。旁这一列主机些什。就是说当一些用户他可能不知道，就是说对这些挖矿场景该如何处理的时候，比如一些命令啊，或者什么其他操作就可以参考，就是说安全给出的这些处置建议，然后对这些。挖矿的一些文件进行清理。

所以主机安全这一部分的功能就可以帮助我们做到安全。一个整体的一个控。我们再回来。嗯，这个其实就是我们今天整体分享的一个挖矿，一个常见的一个攻击的手法，以及它一个入侵的一个演示。啊，下面我来介绍一下，就是我们整体，呃，腾讯安全的一个MS的安全服务，因为我们知道刚才我们其实做应急响应这一环，其实只是非常，呃，应急响应只是其中的一个步骤啊，就是我们知道应急其实它不应该成为常态，就是企业应该构建以评估、监测、应急为体系的闭环安全能力。

嗯，就像我们腾讯安全的服务一样，就是安全托管服务，我们会给客户就是做一些像事前的安全评估啊，风险检测，就是说帮助我们发现一些事前的一些风险点。然后在事前就是说收收敛绝大部分的一些风险，然后在。即使出现了问题，我们可以做到一个续的一个监控，包括安全问题发现之后，我们对进行及时固进行及时的响应。我们哪怕即使遇到了一个问题，我们都可以。就是说对。对这个整体漏洞的一个感知和一个风险的监测，像我们之前有遇到一些问题，像一些最新的一些漏洞，它的一些情报，它什么时候爆发的啊，我们可以第一时间感知到，比像前段时间的一些数据泄露的情况，这些可能对一些企业会造成很多风险，这些都是像我们安全托管服务里面都会都会协协助，就是说协助客户去提升的这个能力啊，最后呢，就像我们入侵之后，像我们今天分享的这个场景。

就是说，呃，就是说模拟了这个黑客真实的一个入侵场景，就是说被入侵之后，我们怎么去快速的应急响应，也就是说把这个挖矿木马给他清理，然后以及做一些事的加固的操作，就是我们应急响应这部分的要做的是就是说。构建云上的这个应急入侵的预案，应急恢复的能力，出现入侵之后能够快速的帮助业务恢复。就到这，感谢感谢。感谢大家观看。好的，非常感谢高志鹏老师的分享，那精彩的演讲之后呢，我们今天的第一轮的抽奖的环节也要正式开始了呢，我们是给大家准备了十个腾联公，那首先呢，请大家先扫描我们屏幕上的二维码进群，那我们呢，将告诉大家这次获取礼品的密钥，前十名的将在我们微信，呃，在我们的微信群内参与互动的人员呢，将获得礼品。

所以呢，现在没有入群的同学可以抓紧时间扫描我们的二维码，然后入群。啊，我看到现在已经有很多的小伙伴，然后在陆续的进群当中了。好呀，那我们要开始我们今天第一轮的这个呃，口令的这个发布了，请大家将我们这次活动的主题原全实战加。

发布我们的微信群内。原安全实战加速发布在我们的微信群内。啊，我看到各位小伙伴都还在陆续的进群当中，那请大家呃发布原引擎云原生安全实战加速仓发布在我们的微信群内啊，我看到群里面的信息已经是爆棚了，那我们呢，就是呃，恭喜前十名发布的同学，那我们群内呢，会有我们群内的小助手，大家呢，可以联系我们群内的小助手来领取礼品。屏幕前的呃，同学呢，如果还没有入群的，可以马上的去扫描我们屏幕的二维码入群，我们后面呢，还会有更多的精彩的礼品在等着大家。

好的，欢迎大家回到我们的直播现场，那接下来呢，将由呃，腾讯云原生安全产品专家赵志广为我们分享抵御挖矿入侵的最佳实践及实操演练，有请。好，那我接下来跟大家去简单的去交流一下整个云上安全的整体安全最佳实践。那我是腾讯云原生安全产品营销赵志广，也是想跟大家一块儿再去针对云上的常见的挖矿场景，那我们怎么针对这个防护的难点以及策略，呃，并且能够很快速的能够输出我们的解决方案，并且能够恢复我们的业务，然后做好事后的这种加固。

那我从大概三个部分跟大家展开去介绍，那整个挖矿场景，刚才我们同事志鹏这边也做了比较详细的介绍了，呃，我这儿再简单的汇总一下，其实针对于云上的挖矿攻击常见的手法，最开始基本上黑客一般都会通过两种手法，那就是扫描我们暴露在公网上的IP及端口。以及对应端口的一些漏洞。那我们针对这两个比较明确的点，那我们怎么有效的做相应的防护和拦截。那随着我们整个云上安全防护的这种开源软件的广泛使用，包括我们使用了容器相关的这个业务负载，还有就是业务逻辑以及API的这种问题，呃，另外一个就是我们多端的接入以及流量的这种攻击的增加，那我们怎么有效的去应对？

那其实我们针对于整个的这种攻击的工商链，呃，从整个前期的侦查扫描，到武器化，到漏洞利用，工具安装，还有C处横向移动以及持久化，都有对应的一些防护手段，那在最开始。所以前期我们可以通过云防火墙能能够帮我们做好云上资产的暴露的分析，以及边界的防护，可以做做到很好的这种暴露面的收敛。那到。武器化以及漏洞利用这个部分，我们其实有相应的一些啊虚拟补丁，像主机安全提供的一些漏洞利用检测，包括虚拟补丁的方式，能够针对这种漏洞利用的手法做相应的检测以及拦截，再到黑客做攻击工具安装的阶段，我们其实可以很有效的能够通过主机安全做相应的这种呃提全啊，包括呃相应的这种落地执行检测扫描，可以做到及时的自动隔离。

对，再到那个命令执行，以及整个横向深后阶段，其实我们也可以通过主机安全可以很快速的发现一些恶意请求，包括呃横向内网扫描的一些行为，并做到相应的这种拦截和防护，那总结来讲，那我们针对云上的整体的安全防护，从第一道方向云防火墙，再到呃，针对我们不得不暴露的向业务的端口八零或43，通过wap做相应的防护，再到我们的主机安全做资产的清点，包括密码的破解拦截，异常登录，可以及时告诉用户做相应的这种告警提醒。

当然说上传了一些恶意的文件。包括有一些恶意的脚本执行的时候都会有一些比较呃恶意的行为，可以通过我们主机安全很快速的能够去检测到相应的这种呃攻击行为，然后做到实时的告警，帮用户在更前期能够把这个风险感知到。那整体我刚才讲到的呃，针对于这种挖矿场景，我们最核心做的两个维度就是检测和响应，那我们丹田产品也可以实现呃，多个多维度的这种数据联动，从网络层到终端层到安全的这种，呃，呃主机层都可以做到多维度的检测。那在右半部分我们可以通过一些。

抗啊，包括云防火墙，包括也可以做到相应的这种攻击拦截的一些能力。那我详细的去跟大家去针对挖矿场景下重点介绍两个产品，第一个就是我们云防火墙部分，那怎么通过云防火墙帮咱用户梳理整个的这种暴露面的风险，然后把整体的风险嗯降到最低，那我们呃防火墙主要是提供的访问控制，包括身份的认证，包括入侵的防御，呃，并且已经集成了这种漏洞扫描，包括网络蜜罐的能力，可以很。很方便的去帮助大家能够识别到这种攻击的行为，并且能够做到相应的拦截和阻断，当然说我们嗯，云防火墙的旗舰版也提供了一些重宝啊，甚至互网的一些威胁情报，并且可以做到全流量的一些分析，包括威IP的这种追踪，呃追踪可以一键式的对呃某个区域或者说某一批呃有风险的这种IP做到批量的封禁。

那整个云防火墙是在三个维度，我们是通过事前的排查，包括实时的拦截，然后在事后可以更快速的溯源取证，能够去发现那哪些机器受到了感染，能能够更快的能够做到溯源的反制。那我简单去过一下界面，在第一步基本上我们通过云访火前就可以有一个资产中心的能力，可以帮咱去很快速的梳理云上的资产，以及我们暴露的端口，那适当的去关闭非必要的一些服务或端口，能够帮我们去提高整个的前呃面的安全收敛。那在第二步其实我们就可以呃通过前期呃云防火墙有一个观察模式，比如说我们跑到一周或两周的时间，就可以把相应的开关所呃打开，把拦截的这种开关直接打开，那我们也主要是针对互联网边界的防火墙，还有NT防火墙，那呃互联网边界的防火墙更多的是呃入口入向的一些流量检测，嗯，那我们nat防火墙更多的就是对出向流量的一些检测啊，比如说啊，刚才我们的同事也介绍到，基本上挖矿都会去反联矿之库，那我们就可以通过这种nat防火墙很快速的能够帮咱去梳理到，哎，我们反联矿池的这种呃域名恶意的外联请求，我们云防五墙可以实时的去检测到，并且能够自动化去。

调我们的威胁情报，做整体IP的研判，如果是有风险的IP，我们如果说打开了防护开关，可以及时的做到阻断。

那在入侵阶段，当然有一个严格的模式，就是在我们一些重保护网阶段可以去打开的。就是我们呃，有相应风险的一些研判依据的，就都会做相应的拦截。另外一个就是我们云防火墙还提供了一个零信任防护远程运维的能力，那这个能力更多的就是方便我们企业能够通过微信或企业微信扫码的方式去做远程的登录，那避免说我们有相应的一些企业的呃机器暴露在公网上，那我们通过零信任远程运维的方式能够接入到我们的业务机器上，做相应的业务配置变更，这样能够更加有效安全的防护，呃，针对于这种暴露在公网上的SSH呀或RDP，呃这种高危端口尽量去避免。

那这个也是一个相应的演示。可以通过这种云防火墙的身份认证，直接扫码登录，登录到后台的这个运维的资产上。那刚才我提到了，那云防火墙更多的是通过管呃管控主动外联，然后能够阻断这种机器受控，那其实很多刚才咱讲到它一是。外联矿池库第二呢，他做了持久化之后，有可能会反联到它的业务机器上，呃，黑客的机器上，如果我们这边清清除了相应的这种风险的恶意样本之后，诶，他那有可能会去，呃有隐藏的一些后门，那又把相应的挖矿的脚本又从它的c two及机器上去下载下来，那我们通过管控外联的方式，就能够很有效的阻断它这种。啊，攻击。

这是也是有一个告警中心，能够及时的能够通过短信，包括邮件，包括咱的微信的呃，小程序的通知，都可以多个维度的帮咱用户及时的做相应的预警。那我接下来再去详细介绍一下针对于挖矿场景下主机安全和容器安全的整体产品的一些能力，那我们主机安全目前主要是分为三个版本，那基础版本是主要是提供了一些简单的主机列表异常登录检测，包括密码破解的检测。那在专业版里边更多的提供了一个核心的呃检测能力，包括漏洞管理的能力，包括我们机械的能力，以及高级防御的能力，那在旗舰版里面其实更多的去呃增强了漏洞的自动修复，还有核心文件的监控。另外一个就是呃四动溯源，刚才制防演示的主机安全的整体的四动溯源的一个界面，就是从前期发现了这个呃入侵的呃原IP，它是通过什么样的方式，比如说通过SSH暴力破解上来的，或者是通过一个外部的漏洞利用方式上传进来的，那整个的攻杀链我们可以通过自动溯源的能力。

呃，很有效的去还原。那我简单的去针对挖矿场景下，那我们主机安全做哪部分的一些有最佳实践的配置，那首先第一部分我们要做好事前的加固，那针对于呃刚才提到的常见的呃黑客入侵的两种手法就是第一就是暴力破解，第二就是呃漏洞利用，所以说我们针对漏洞这一部分，一定要做好事前的一些漏洞的扫描，要及时做高危漏洞的一些修复。

另外一个就是我们呃主机安全可以提供呃呃七大入侵检测模块，包括文件的查杀，异常登录，暴密码的暴力破解，防护恶意请求，比如说他有恶意请他求外联矿制库。另外一个就是高危命令的执行，包括本地提权、反弹、shell等多个维度，可以实时的去监控，并对针对恶意的行为做相应的阻断。那咱的旗舰版里边提供了一个能力，就是可以针对恶意文件做到自动的隔离，并且能够针对于呃整体的攻击做自动溯源。可以帮咱用户更有效快速的去呃检测到我们哪些业务机器受到了相应的攻击，它有没有横向渗透。那另外一个维度，其实咱用户很多业务已经逐渐去从主机过渡到我们的容器集群，那并且有相应的K8S，包括open shift这种编排呃集群的一些管理工具，那针对容器维度的这种挖矿防护，那我们呃腾讯安全也推出了容器安全的防护解决方案，更多的就是从整个容器的全生命周期，容器的镜像，我们就开始进行呃高危漏洞的检测，包括木马病毒的这种扫描检测，也是跟云顶实验室做了深入的这个能力的集成，把相应的能力都是集成到我们整个容器安全的呃产品里面，那在部署阶段，其实我们可以有效的针对于这种集群安全，包括通过我们的机械配置合规检查，去检测到我们容器本身的一些配置是不是。

是有一些脆弱性，再到整个容器运行阶段，我们可以有效的通过容器逃逸检测，高危操作的一些检测以及也进行呃，可以针对一些核心业务机器进行进程白名单，包括文件防护啊，可以更有效的帮咱呃在容器维度的一些业务做安全的检测和防护。

那我我也是针对于这个挖矿场景下，我们容器安全从哪几个视角来做安全的加固，那第一个视角还是我们刚才提到的，呃，还是漏洞运营开，一定要做好常规的一些漏洞的运营，然后收敛漏洞的一个风险，减少我们整体的风险暴露。那在整个容器集群的阶段，我们可以通过集呃容器集群安全配置合规检查，可以检测到容器的这个集群的漏洞以及配置合规的风险，可以帮咱做到集群的安全加固，尤其是像针对wrong c啊啊，Ho light呀，包括apis serve以及docker pod等相关维度的一些组件，可以很快速展开整体的安全巡检，并且可以很。

呃，可以关注到一些高危的一些组件，包括呃在这个维度，如果说有一些供应链引入的一些组件，我们也可以能够有效的去检测出来，并且能够呃做容器集群的安全的一个防护，针对于非管理员，只允许他通过编排来启动我们的pod。那在第三个维度，我们就是针对容器内部容器安全也做了相应的入侵检测和防护，那使用容器安全可以更有效的去检测咱容器内部的入侵的事件，持续可以做到相应的监测，并且能够实时的通过咱的短信或邮件去告警用户，呃，有哪些攻击事件，然后帮帮咱提前去发现这种风险的预警。

那我接下来去再简单去介绍一下我们呃呃原呃原生的一个安全服务。那刚才提到了都是三个产品，那加一个安全服务，其实很多用户来讲的话，有可能就是安全运维人员比较匮乏，那针对一些应急事件，可以寻求我们腾讯的安全服务专家做相应的支持。呃，我们大概整个云上的安全服务分为三个部分，就是当然说呃主要是针对攻击视角下的一个有效的防守，包括我们可以实现整体的这种护网级的常态化运营，并且可以实现一个实时的情报的一个呃情报的威胁共享。那我们整个云上的MSS也是积累了腾讯安全专家的这个，呃20多年攻防的一个经验，呃有相应的这种红蓝对抗，包括呃安全运营指标，高端的这种安全能力，包括提供一些整体安全评估以及日常。

常态化的安全运营。呃，当然说咱的安全托管服务是可以提供七乘24的类型的这种安全托管，那整体的托管分为两大类，就是日常的运维类，还有我们重保护航类的，那重保类的可能会相对来说会重一些，就针对于我们类似于护网啊，包括一些呃，重要的一些事件的防守。那呃，我们安全服务也沉淀了很多年的经验，并且有相关的行业的标杆去支撑，包括政府机构，金融行业，包括通用的一些行业，包括医疗零售。

那整个的云原生呃防务体系作为整体的一个总结来讲，那呃腾讯的云原生安全在产品上架部署上可以实现零部署，即开即用，就是SARS化弹性的扩扩容，可以按量去付费，另外一个就是更安全，四代的全网的这种威胁情报已经呃多个产品基本上就默认已经揭露了我们的全网威胁情报，那另外一个就是更省心，当然说我刚才提到的我们顶尖的攻防团队可以构建一个很。高效的安全运营服务，帮咱用户做好事前的安全排查，包括事中的呃安全对抗以及事后的溯源加固。那呃，我也是做了一个整个云原生防挖矿的一个整体产品的一个会所，呃，包括主机安全，容器安全，云防火墙以及我们的安全服务，感兴趣的同学可以到时候在群里边去联系我们的小助手。

呃，接下来我就是针对整个挖矿场景下，那我们呃呃腾讯的这种呃，云原生的安全产品，那最佳实践的配置是什么样，我是快速跟大家一块去过一下。那我这里边也总结了两个，呃手册，第一个手册呢，是基依赖于我们腾讯的安全产品来做的应急的一个处理，包括事前的家务，包括事中的这种应急处理，另外一个就是有一些用户可能还没有购买呃腾讯的安全产品，那也提供了一个自助清理的手册，这块就是可能对技术要求会稍微高一些。那我们一块儿，呃，整体看一下。

呃，基于整个的安全产品维度，我重重点去从就是针对云防火墙和主机安全，呃基本上都是分为四个部分，第一个部分就是收敛暴露面，非不必要的就不要暴露，那针对于互联网暴露的这些非非必要的这种端口和服务，我们可以通过云防火墙的资产中心，可以很快速的去梳理出来有多少的资产，包括有呃对应资产是不是有高危的端口暴露在公网，像常见的SSH或RDP的端口。另外一个维度就是堵漏洞，那我们这呃，云防火墙也提供了一个啊虚拟补丁的能力，能够有效的去监监测到漏洞利用的行为，可以及时做相应的阻断。那第三步更多的就是管控外联，通过我们呃云防火墙的安全告警中心里边有一个管外联的呃功能点，可以很有效的去检测到，诶哪些主机资产有外联的行为，外联的哪些IP或者说域名是不是有风险的，可以直接联动威胁情报做相应的这种告警。

那针对于有入侵后，那我们能够通过云防火墙，能够快速的将有风险的这种资产做相应的隔离，就帮助我们去快速的止血，能够防止威胁的这个蔓延。那主机安全侧也是从这四个角度非必要的不暴露，那我们主机安全也提供了整个的资产，呃清点的一个能力，帮咱去能够很快速的去监测到有哪些撕开，包括哪些端口暴露在公网。那堵漏洞，刚才我提到的云防火墙提供的是虚拟漏洞，那虚拟漏洞在呃大家看来可能更多的是临时的解决方案，我们还是要针对有可能会被潜在利用的一些高危漏洞，要做到及时的修复，那咱主机安全的旗舰版，针对于部分的Linux漏洞，还有外部CMS的漏洞，可以一键做到自动修复，可以针对上百台或上千台机器，可以快速的做高危漏洞的这种自动修复。

呃，主机安全这块的反外联更多的是通过入侵检测模块的恶意请求部分能够快速的能够看到，哎，哪些主机有恶意外联的一些请求。并且也做了威胁情报的整合，外联的这个域名是不是有风险？呃，最后一步就是我们要常做相应的体检，通过整个的呃主主机安全可以做到。漏洞的这种检测，包括机械的加固，然后可以帮咱更快速的针对云上的业务资产做相应的资产精简，包括漏洞管理，包括资产的。

机械检查。那整个的收益来讲，其实我们建立的整体的这种防挖矿的一个场景，更多的是希望在事前能够做好安全的防护，避免有这种入侵的事件，但是一旦有入侵事件的话，我们也提供了相应的这个，呃，清理的这个手册，可以供大家去快速的去做相应的处理。当然说也可以去联系到我们整个，呃呃，腾讯云的MS的应急响应服务，可以帮咱做相应的这种。呃，基本上这两个最佳实践的文档，我简单过了一下，那我点开我们整个的云上的安全控制台。

刚才其实也是，呃，我第一部分介绍了云防火墙，那整个的云防火墙最下侧有一个立体防御，能够帮咱全视角的去看到整体的安全防护状态，那从第一道防线云防火墙，第二道防线我们的W防火墙，第三道防线就是我们的主机安全，容器安全。那整个目前我演示的主要是民防火墙和主机安全两个部分，那呃。在防火墙部分，因为我这个环境里边主要的资产就是两台清亮的这种lighthouse的机器，所以说啊，在防火墙部分，主要开的就是我们边界的防火墙，大家可以看到。在防火墙里边的资产中心，其实可以很有效的去看到我们整体的主机安全资产。然后呃，大家针对挖矿场景下，我们更关注的就是是不是有暴露在公网的一些高危端口，一般个人的用户，包括我们，呃，一些中小企业有可能为了加快安全运营，呃，那有可能就是把我们的机器直接有可能会暴露到公网上，那这种情况下就要做好暴力破解的防护，包括对这种端口的异常登录的检测。

那在整个流量中心里面，我们云防火墙，我刚才提到了有一个主动外联的分析。大家也可以看到。可可以通过外联的流量，包括外联的域名，外联的地址，比如说这个域名是不是有风险的。包括外联的地址。是不是有高危的一些风险？它基本上是可以呃，联动我们的威胁情报做反联域名的这个查询。

刚才我提到了，就是针对于我们云防火墙还有一个功能，就是它可以提供一个零信任的访问接入，就是说避免我们的二二二十二端口，或者说RDP的338端口能够暴露在公网，那我们可以通过这种注册微信用户的方式，能够去做快速的这种扫码登录。那在整个云防火墙侧，其实就是从呃，我们高危资产的这种梳理包，包括这种告警的分析，以及侵的这种防护。从三个维度做相应的安全加固。呃，这是我们云防火墙的虚拟补丁，也可以跟大家去点开看一下，就是目前已经支持的这种，呃，漏洞的防御，也是有近上上千个漏洞的防御。

像常见的阿帕奇的这种漏洞利用。都可以做fast周的漏洞利用，都可以做相应的有效的漏洞利用的检测和防御。那接下来我们可以去看一下我们整个主机安全的这个控制台。在整个呃，主机安全的控制台里边，它默认的这个有一个概览页面，可以对整体安全风险做一个评分。那也是从整个的预防、防御、检测、响应四个维度做整体安全运营。在主机的资产清点这个地方，大家可以看到入侵检测，然后针对于呃全部的主机。比如说我们针对于这这台主机是不是有检测的一些行为啊，这是我们刚才演示到，哎，它有检测到它的文件，呃落地，如果说我们做了漏洞，这种恶意文件的自动隔离，他如果落地的话，会自动做相应的隔离。

然后另外一个就是异常登录的检测，是不是在我常用的一些运维区域去登录的主机啊，如果说你像有中国香港啊，我们会实时的去告警出来。另外一个我们也可以去开启我们的阻断模式，那可以针对于这种暴力破解做相应的拦截，大家也可以看到啊，有破解成功是因为我们是为了做相应的测试。恶意请求部分就是，呃，刚才也提到了，它基本上会反联一些恶意的域名。啊，可以通过这个地方能够很有效的去检测到他的反联的一些行为。还有黑客执行的一些高危的命令，比如说他执行了，呃，把这个history，呃执行的命令记录做删除。

这块都可以做监测到，包括他执行了shell脚本，去下载一些恶意的文件和样本。包括反反弹shell的一些检测也都可以有效的去检测出来。那我针对于呃，防火墙和主机安全这两个部分的这个讲产品维度的讲解，基本上就讲到这里。我结束一下共享。好的，欢迎大家回到我们的直播现场，那在直播的过程当中呢，有很多的同学都在积极的互动与提问啊，我们呢也选取了一些有共性以及就是代表性的这样的一些问题，然后呢，邀请两位专家来为我们解答，那首先呢就是啊第一个问题我们可以看一下是说啊怎么判定被挖，以及包被挖了如何来解决啊，那这个问题呢，我们有请高志鹏老师来为我们解答。

啊，好的好的，我来解答一下这个问题啊，这个问题呢，首先我们看那怎么判定被挖矿，以及挖矿该如何解决，那怎么该怎么判定被挖矿呢？这里主要讲两点，然后第一点我们可以通过一些系统的一些进程文件去判断，比如说像出现挖矿之后，系统的一些C就C2个们可以来，像在挖矿之后呢，它其实它会去反联一些矿石的地址，然后进和矿石这个挖矿的主机和矿石之间会进行通讯，然后从流量这个层面呢，我们其实也可以判断呢，它是否被挖矿，那被挖矿了之后该如何解决呢？这个主要就比如说我们就是。

判定这台主机它被挖矿之后，我们可以上机进行一些操作，比如说像去查杀一些比上关键的一些挖矿进程，然后像一些挖矿的一些关键文件，然后把这些文件然后比说像可以用我们的主机安全来把它就是做一个系统的一个隔离，然后做或者做一些其他的一些操作，然后把挖矿呃暂时给清理，隔呃清除或隔离掉，就通过这种方式来解决挖矿。好好的。好的，谢谢高峰老师啊，那我们接下来第二个问题在啊，挖矿入侵应该从哪几个方面来入手啊，这个是一个实战问题，那么我们有请赵志广老师来为我们解答一下。

那针对这个问题，其实我刚才已经在前边讲解产品的呃情况下，已经做了相应的介绍，那分两个维度，如果说已经购买了咱嗯腾讯安全的相关安全产品，比如说像呃购买了云防火墙，那我们刚才我提到的就是通过收敛暴露面，非暴露非非必要的一些端口和服务，就不要暴露在公网啊，通过我们的私产的这种清点，包括这种高危呃服务的一些监测，能够更有效的去做相应的这种暴露面收敛。第二个维度就是堵漏洞，那我们建议在防火墙维度或主机维度都通过漏洞管理的方式，把整个的漏洞资产做整体的安全运营，然后针对中高危有可能被利用的一些漏洞，要加紧做相应的安全的排查，并且及时做相应的修补。

呃，另外第三个部分就是管外联，那如果说正常的业务机器一般情况下不会去外联啊，公网的一些地址或其他外网域的一些域名，如果说发现了一些啊主动外的一些流量，那我们通过云防火墙或者说主机安全的这种恶意请求的监测，可以实时做到相应的告警，那咱的相应的运维人员可以去登录到相应控制台，做相应的整体的安全运营处置，最后一步就是做到整体的安全的体检，那我们可以整体针对云上的安全做整体的安全排查，包括资产的清点，漏洞的管理，包括机械的检查加固。啊，整体的安全的这个排查。就能有效的去应对整个的这种挖矿的这种攻击。好的，志广老师今天也给我们非常好的来去提炼了一下，我们今天要去啊，给大家提供的相应的这种方案的这个要点啊，希望大家能够呃有所得啊，那第三个问题就是如何快速定位挖矿程序啊，这里有打的比喻是说比如有一些不是常做的程序很难被发现的，嗯，那这个问题呢，我们来请教一下啊志鹏老师。

嗯，好的啊，但是回答这个问题之前，我刚才看有观众在在提问说这个流量挖矿告警该怎么去处置，我可以简单回回答一下，因为像流量告警的话，就刚才我们提到的这个流量告警，它其实它可能不一定是你在你主机上进行挖矿了，它比如上它有可能黑客时入侵到你服务器之后，他把你的服务器作为一个代理，作为一个跳板，他把这个流量再转发出去，这种时候呢，我们去可以在主机上进行TCP抓包，然后来进行，然后是个进程，然后来的这个挖。

啊，然后呢，呃，然后我们现在再回来。啊，我们再看到这个问题，就是说怎么快速的去定位这个挖矿程序，以及一些不是很常的，不是常的程序很难被发现，这种该怎么处理呢？像定位挖矿程序的话，这个其实要看几类，比如像一些最普通的挖矿，它可能没有做一些系统类的劫持。他可能就会从，可能就会从，比如一些，嗯，就很常见，比如说我们通过一些top的命令，Top命令，然后或些其他的一些系统命令，我们可以直接定位到哪些，呃，进程的CP负载是比较高的，然后我们可以直接定位到这个是可疑的程序，然后第二种，比如说像像些被劫持之后的程序，比如像我们刚才演示的挖矿过程中，它其实是去加载了像LD点四点lo这种预加载的一个劫持的文件，这个时候我们去用系统的命令其实是发现不了的，那比如说我们用LS或者是半的或kill这种命令，其实我们根本就看不到挖矿的进程，这怎么办呢？这种就是刚才我提到的，就是说我们可以用一些b box啊这种这种这种它编译好的一些命令，因为我们知道系统上面那些命令，它其实是动态链接库来链接，链接之后来执行的啊，这个时候就会出现被劫持的情况，我们这种时候就用b box去代替命系统命令去执去执行。

这个时候就能发现90%以上的那种挖矿程序，当然还有百，嗯，还有极少部分，比如说一些rocket这些后门的话，我们可能需要用到专杀的一些工具，这种这种不是很常见的话，就不太不太容易被发现，可能需要一些专门，比如说针对一些像rocket的这种的话，我们可以要需要专门去针对这个挖矿的这个kill文件，这个文件去对它进行分析之后，然后进行进行清理，这是对于一些不太常见的这种程序的，就是一个挖矿的一个排查。

大概是这样子。嗯，好的。好的，非常感谢啊，非常感谢志峰老师的非常详细的解答啊，那我们接下来第四个问题是啊，有同学来去问说呃针对于挖矿入侵的防范，或者说是防护方式的，呃，它的原理是呃基于的是在呃是是基于什么，然后来去做的这一块的原理啊，然后在没有工具或者说是安全软件的检测下面，怎么能够有效的防护或者是检测啊，那这个问题呢，我们来呃有请志广老师来为我们解答一下。嗯，好的，那其实在我刚才去讲解整体防挖矿的一个最佳实践的时候，就是分两个维度，第一是就是购买了咱这个安全产品的呃情况下，那我们怎么去做，那另外一个就是我们就没有任何安全产品的情况下，那我们怎么做整个挖矿恶意软件的这种处理，那首先呃，从原理上来讲，其实挖矿更多的去对CPU做相应的这个占用，但是它的攻击手法也是前期做入侵的扫描，中期做相应的提权，呃，恶意令的执行，另外后期做相应的这种呃计划持久化，然后并且对自身的这个进程做相应的隐藏，就防，甚至对一些常见的命令做篡改，那就是像PPS-EF，有可能你去看哪个进程的时候，它就把这个命令篡改之后，你就搜不到它那个进程。

包括对透命令的一些篡改，那针对于这种常见的这种呃挖矿的这种入侵手法，那咱怎么去做拦截或者说清理，其实呃如果说没有购买安全产品的情况下，可能需要咱专业的一些安全团队能够，呃首先呃对整个挖矿的这种入侵呃做一个整体的这种监测，那及时对已经中了挖矿木马的这些主机做到及时的隔离，比如说通过咱腾讯云的网络安全组可以对机器做出入的这种流量的。

做相应的这种隔离和阻断，第二个维度就是可以呃快速的针对这种异常通信的这种流量做相应的这种拦截。第三个就是我们往往就是很多用户都是直接对挖矿的一些嗯进程做相应的K，但是KO掉之后，过过不了大概一段时间之后又自动开始执行了，所以我们首先要去呃检查有没有一些恶意的计划任务，如果说有计划任务的话，我们一定要清理这种计划任务。另外一个就是清理相应的恶意的启动项，包括刚才志鹏提到的呃加载了一些恶意的so，那我们也要去清理相应的so，包括清理一些如不在我们正常范围内的SSK的公钥。

最后一步，我们再去清理相应的挖矿的木马的进程，做相应的这种恶意进程的关停。对，这个问题我大概就回答到这。好的，非常感谢啊，那我们接下来的一个问题是有同学问到说，呃，挖矿入侵的通用的排查的手法是怎样的啊，这个这个问题呢，我们来有请啊志鹏专家来为我们解答一下。啊，好的。啊，刚才这个问题是挖矿入侵的通用排查手法是怎么样的啊，这个呢，其实和刚才和和刚才志管老师讲的其实有些类似，就是我们，嗯，就挖矿它的一个大致的一个排查过程吧，就比如说其实我们怎么去排查的话，也是看就是挖矿的一些特征来进行排查的，像一些常见的，比如他会写一些计划任务项这样，嗯，像比如说他可能每分钟就会自动去拿起自己的脚本去执行，然后比如说还有像他会写入一些开机启动，嗯，这这一类我们可以先做一个，比如说我们去排查的时候，可以先把那个qua ta那个定时任务给他，给他就是说暂停掉，然后之后，然后我们再去做进一步的排查，然后我们去比如去看一些系统的一些常见的配置文件，比如说ETC下的点这种DNS的配置有没有被篡改啊，篡改之后我们可以先修改回去。

然后第二，然后再一个就是比我们常见的像一些系统命的话，这是我刚才已经提到过，用box系统命令来进行排查，就刚才呃，像像那些加载的一些意的文件就可以通过这种方式啊，我们可以先直接看一下ETC etclo是存如存在就明其实是已经做了这个的，这个时候我们先把这个文件给它移除掉，之后就是说先把这个呃，恶意加载的劫持给它干掉，干掉之后呢，我们再做后续的排查，然后再一个关键的点就是说去停服务，哦，我解释一点，为什么为什么很多的挖矿进程我们直接Q都不掉，是因为他是把自己的进程写到了一个系统服务里面去了的，就比如说你一个系统的一个system service这个里面呢，这个里面它相当于是是给进程加了一个守护进程的，你你把。

就是进程给kill掉之后，他的守护进程其实又会立马把它给拉起来，所以说你必须要先把服务给停掉，停掉服务之后呢，然后再去进程。

进程之后，其实这个挖矿进程基本上就没办法起来了啊，所以说这就是一种，呃，然后后续的话，我们再去检查后面是不是有做了一些其他的隐蔽操作，比如说我加了是否加了一个后门用户，我们比如说排查ETC password，还有比如说排查一些最近的新增文件，和他是否有添加一些后门的公钥啊，一些账账号等啊，我们把这些排查完，基本上整个的一个挖矿入侵差不多就算清理完了，当然遇到一些比较特殊的的话那种哦，我们可以用另外的方式来进行排查，这个啊我们可以另说嘛，然后就但是大部分的挖矿的通用的排查方式，就是我刚才讲到的这些。好的好的好的，谢谢志峰老师啊，那我们今天啊，选取的最后一个问题是啊，部署在云上产品的报警有何特征，然后能做预警啊这个问题的话呢，我们来有请志老师为我们解答。

嗯，我看聊天，呃，聊天框里边也有一个那个，这边问了一个问题，就是流量告警挖矿有没有外到内的一些情况，这种情况相对来说会比较少，因为呃说实话，除非说你的那个反联的C机，呃，比如说腾讯云，或者说你内联的一些机器，那这种情况下，其实我们是可以通过云防火墙的互联网边界防火墙做相应的这种录像流量的监测和告警。这块也是可以做到相应的监测，那我反过来我去把那个挖挖矿的一些特征，然后做一些总结，其实刚才我们经常提到那挖更多的是占用C甚至GPU的一些算力资源，那针对于咱腾讯的CVM本身就有相应的这种CPU超过，比如说80持持续五分钟以上，那我们就可以自动做相应的告警处理，这块可以做相应的告警的次处置，或者说可以自己自定义一些阀值。

那另外一个维度，那就可以通过咱云上的这种安全产品，像防火墙，可以很快速的去监测到它有没有一些外联的告警，研判这种外的IP和域名是不是恶意的，如果说恶意矿库基本上就能够去看到，这就是有挖矿的行为，另外通过咱主机安全的恶意域名的访问，也可以去有效的能够监测到相应的这种挖矿的行为。我大概就说这两个角度。好的啊，非常感谢大家今天在我们直播间踊跃的这个发言和互动，那因为时间的关系了，我们啊今天线上的这个在线问答我们就先告一段落了啊，大家呢，可以继续去扫描我们二维码入群，然后呢我们两位专家也在群里面，然后呢可以与两位专家来去进行更多的这样的一个互动和交流，那我们今天的这个互动问答环节就到这。

好嘞，谢谢主持人。嗯。啊，接下来我们将开启我们今天的这个最后的一次抽的环节，本轮抽奖我们也是给大家准备了这个十个怪企鹅的这个头枕，也是腾讯安全的这个，呃，腾讯的周边的这样的一些礼品，那呃首先呢，还是邀请大家呢，去扫描我们屏幕呃上方的这个二维码来入群，那我们将来告诉大家呢，这次获取礼品的这个密钥，呃，同样的也是前十名在我们微信群内分享密钥的同学了，将获得礼品。好的，呃，接下来大家呢，请听我的密钥的口。

云原生安全体系化，防御更高、更安全、更省心。啊，请将云原生安全体系化防御更高效，更安全，更省心发布在我们的微信群中，那这一段呢，也是啊，这在我们的志老师的这个演讲的过程当中，然后呢，有给大家提到的啊，大家。云原生安全体系化，防御更高、更安全更省心，发布在我们的微信群。好的，那我们也啊恭喜前十名的这个同学啊，群内的我们的小助手也将会啊跟大家啊公布，然后呢，我们前十名的这个中奖的这个名单，同时呢，也也请中奖的同学呢，来联系我们的小助手礼品。

那我们今天的这个挖矿场景的实战课呢，可以说是干货满满啊，但是呢，因为时间的关系，我们这一次的直播呢，只能是先告一段落了，呃，我相信呢，还会有很多的观众意犹未尽，那么呢，请大家持续的去关注我们腾讯安全的动态，我们这个活动的这个系列原引擎云原生安全实战加速啊，也将会有更多的这个系列的实战课将与大家来去分享，那这里呢，我们今天的直播就跟大家说再见了啊，我是主持人陈娟娟，再次感谢所有观众的参与，谢谢大家，再见。