1、确认感染：- 对告警进行分析，确认告警正确性- 对日志进行分析，确认所有中招主机2、分析现状：- 分析安全告警，如连接/查询矿池，告警最早发现时间- CPU使用率高- 分析系统架构，服务器类型、中间件、数据库、业务架构等3、处置方法：- 在防火墙上禁用到矿池以及恶意域名的所有连接- 对被感染主机进行隔离处置，禁用所有有线及无线网卡或直接拔掉网线，防止病毒感染其他主机；- 禁止在被感染主机上使用U盘、移动硬盘等可执行摆渡攻击的设备；- 未感染主机关闭SSH、RDP等协议，并更改主机密码- 备份重要数据，且文件备份与主机隔离- 定位挖矿文件并查杀或重装系统4、日志分析：- 对系统文件、进程、系统信息、日志等进行排查，并查看相关服务，是否存在弱口令和脆弱点，如redis未授权访问、weblogic反序列化等5、防御：- 对系统进行补丁更新，封堵病毒传播途径- 制定严格的口令策略，避免弱口令- 结合备份的网站日志对网站应用进行黑/白盒测试，找出攻击者利用的漏洞入口进行封堵