僵尸网络控制服务器进行门罗币挖矿:360可截杀

近日，360互联网安全中心检测到了一种能够通过入侵服务来进行门罗币挖矿的僵尸网络，该僵尸网络控制的服务器数量最高峰时单日可达两万多台。

一、僵尸网络控制服务器挖掘门罗币牟利

据悉，该僵尸网络建立初期，依旧利用了臭名昭著的“永恒之蓝”病毒的漏洞攻击武器，对那些尚未安装最新安全补丁的计算机设备进行入侵控制，在控制了一定数量的设备后形成小型僵尸网络，然后再利用这些小型僵尸网络扫描和感染其他电脑设备。

攻击者以此种感染模式逐渐扩大僵尸网络的控制范围，很多遭到入侵的计算机设备甚至根本不知道自己已经被远程控制成为肉鸡，不仅个人隐私全部泄漏，还沦为不法分子的犯罪工具！

不法分子利用这些僵尸网络来控制那些至今还没打上安全补丁的服务器，进行挖矿门罗币的操作，以此来牟取暴利，目前，360已经率先对该僵尸网络的运行模式进行了破解，而且可以有效的拦截查杀此类攻击！

二、僵尸网络控制服务器挖掘门罗币的操作分析

据360互联网安全中心监测发现，此次攻击者主要使用了功能强大的Bot程序，Bot程序最早诞生于2014年，发展到今天已经历经多次版本的更新迭代，其功能已经从最初的简入侵和远程控制，到如今实现了“入侵+利用+传播”的一整套攻击模块！

这套功能一场强大的Bot程序在攻击者手里更是发挥出了其黑暗的价值，黑客利用其在入侵后的服务器上安装门罗币挖矿机，利用服务器资源进行挖矿操作，截至目前黑客已利用其获得了1975枚门罗币，折合人民币高达167万元！

三、如何有效防范服务器沦为门罗币挖矿机

360互联网安全中心对病毒分析后发现，防范僵尸网络通过1433端口入侵计算机是非常有必要的，另外，该Bot程序拥有的其他强大的攻击手段目前尚未被黑客启用，因此暂时无法确定黑客会在未来哪一天利用哪一种新型手段发起攻击，因此务必要随时防范攻击！

这里，根据安全专家的分析，笔者建议：

1、如果目前服务器尚未遭到攻击的话自然是万幸，但一定要注意服务器上msSQL，RDP，Telnet等服务的弱口令问题，如果存在此类问题请务必及时整改，笔者之前不止一次的分析过弱密码的危害，这里就不再做过多的解释了；

2、注意端口的开放，随时观察和关闭端口的开放情况，比如说445端口，我们知道黑客不止一次的利用永恒之蓝漏洞进行入侵，因此我们无法排查其不会再故技重施。

3、及时安装更新系统最新漏洞补丁、注意不要开启不必要的系统账户，最好是能够在服务器上开启安防杀毒软件；

4、密切关注服务器的运行情况，尤其注意CPU的占用率和进程列表，以及流量传输情况，一旦发现异常情况立即进行排查，如果问题无法自行解决请立即上报杀毒软件公司分析解决！