近年来,虚拟货币市场的波动与高额回报的诱惑,使得部分个人和企业试图通过“挖矿”牟利,虚拟货币挖矿不仅消耗大量能源、与国家“双碳”目标相悖,还可能带来一系列安全隐患,如系统性能下降、网络安全风险、甚至参与非法活动,对虚拟货币挖矿行为进行排查与整治,已成为维护网络安全、保障能源安全、规范市场秩序的重要举措,虚拟货币挖矿排查究竟要关注哪些方面呢?
核心硬件特征排查
挖矿行为最直接的体现就是硬件的异常运行和配置。
- GPU/CPU 高负载与高占用率:虚拟货币挖矿(尤其是基于PoW机制的加密货币)极度依赖高性能计算单元,如GPU(图形处理器),排查人员会重点关注服务器、个人计算机中GPU的利用率是否长期处于100%或接近100%的高负载状态,且CPU占用率也异常偏高,远超正常办公或业务应用的需求。
- 特定型号硬件的集中采购与使用:某些型号的GPU因其并行计算能力强,成为挖矿的“宠儿”,排查时会留意是否有大量同一型号、尤其是被公认为“挖矿利器”的GPU被集中部署在非图形设计、非科学计算等常规业务场景中。
- 散热系统的异常表现:挖矿设备在满负荷运行时会产生巨大热量,排查人员会检查设备运行环境的温度是否异常升高,散热风扇是否处于高速运转状态,甚至是否存在加装额外散热设备(如大型风扇、水冷系统)的情况。
- 电源系统的超负荷迹象:高负载运行意味着高功耗,排查时会关注电源功率是否远超实际业务需求,电费是否有异常突增,以及电源线路、插座是否存在过热、老化等迹象。
网络行为特征排查
挖矿程序需要与矿池节点、矿工节点等进行频繁的数据交互,其网络流量具有明显特征。
- 异常网络连接与流量:使用网络监控工具,查看是否存在大量连接到未知IP地址、特定端口(如常见的挖矿端口,如3333、4444、8888等,或矿池常用的端口)的网络连接,这些连接通常具有持续性、高频次的特点。
- 特定域名与IP的访问:许多矿池有固定的域名或IP地址,排查时会检查网络访问日志,是否存在对已知矿池域名或IP的频繁访问或数据上传下载行为。
- 隐蔽的网络通道:为逃避检测,部分挖矿程序会采用加密连接(如SSL/TLS)或隐藏在正常网络流量中(如DNS隧道、HTTP隧道),排查时会关注不明来源的加密流量或流量模式异常的数据包。
- 出境流量异常:由于许多大型矿池服务器位于海外,排查时会留意是否存在大量异常的出境数据流量,尤其是流向已知矿池集中地区(如某些东南亚国家、北美等)的流量。
软件与进程特征排查
挖矿程序通常以特定形式存在于系统中。
- 可疑进程的运行:通过任务管理器或进程监控工具,查看是否存在异常进程,这些进程名通常具有迷惑性(如伪装成系统进程、或使用随机字符串),且描述信息模糊或不合理,常见的挖矿进程名如“xmrig”、“cpuminer”、“t-rex”等,但攻击者会不断变种。
- 未经授权的软件安装:检查系统中是否安装了未经验证的挖矿软件、或与业务无关的优化工具、驱动程序等,这些软件可能是挖矿程序的载体或“帮凶”。
