一、“挖矿”木马排查

　　排查主机或服务器日志信息，查看是否存在异常进程、异常配置、异常网络连接。

　　（一）Windows操作系统排查：

　　1.打开任务管理器，查看CPU占用率是否过高，定位到CPU占用率高的进程，分析是否是可疑“挖矿”程序。

　　2.“Windows+R”键打开cmd命令行，输入命令netstat-ano|findstrESTA，查看正在进行的网络连接，分析是否有通报的可疑端口号；输入命令tasklist|findstrpid（注：pid要替换为实际pid号），通过pid号找到可疑网络连接对应的进程,分析进程是否是可疑“挖矿”程序，过滤掉正常的进程继续排查。

　　3.通过下载everything等搜索软件，直接在主机上搜索“miner”、“haxibao”、“eth”、“hash”等关键词，查找分析是否存在可疑“挖矿”程序。

　　（二）linux操作系统排查:

　　1.通过top-c命令查看CPU占用率，若CPU占用率很高，则找到CPU占用率高的进程进一步排查。

　　2.通过ps-ef查看网络进程，分析是否有可疑进程。

　　3.通过netstat-anop|grep"ESTA"查看网络连接，查找是否有通报的可疑端口网络连接。

　　4.通过cat.bash_history查看是否有安装和运行“挖矿”程序相关命令的历史记录。

　　二、“挖矿”木马查杀

　　通过安装最新杀毒软件或专杀工具进行全盘查杀（查杀前先更新病毒数据库），在无法查杀病毒文件时，建议重装操作系统。

　　三、安全加固建议

　　1.及时安装系统补丁，修复系统漏洞；

　　2.尽量关闭445、135、139等不必要开放的端口，对3389，5900等端口可进行白名单配置；

　　3.采用高强度的密码，避免使用弱口令密码，并定期更换；

　　4.定期使用主机或服务器的杀毒软件进行全盘查杀；

　　5.对重要文件和数据进行定期备份。