挖矿软件会占用电脑的大量运算资源和电力资源,而且会引起主管部门的关注。局域网内有电脑被安装了挖矿软件是一件让人很头疼的事情,对成百上千台电脑一台一台的进行排查简直就和大海捞针一样,需要耗费大量的时间和人力。所以很多网管人员面对上级部门发来的整改函一筹莫展。
因为局域网出口做了NAT网络地址转换,上级部门只能检测到公司的公网IP,所以只能靠公司内部的网管人员来排查具体的终端了。最笨的办法就是一台电脑一台电脑的检查,通过检查程序列表和任务管理器来找挖矿程序。
本文中,我将介绍如何用WSG上网行为管理中的“入侵防御”功能来检查挖矿电脑。因为WSG上网行为管理是部署在局域网内部的,所以可以检测到本地挖矿电脑的IP地址和MAC地址,从而准确的定位到具体电脑。
1. 开启入侵防御功能
如下图,在WSG上网行为管理的“安全防护”-“入侵防御”中,点击“IPS检测项”,就可以看到入侵防御的各个选项。
挖矿软件的检测主要在“木马检测”这个大分类下面,每个大类还有一些小类,点击小类可以查看每个小类中的特征库内容。
点击查看,可以查看每个小类的特征库明细列表。
2. 查询入侵防御的记录历史
在“入侵防御”的“记录查询”中,会记录入侵防御的检测历史。您可以根据IP地址去定位实际的电脑。然后对这台电脑进行查杀整改。
3. 查询电脑的MAC地址
在“入侵防御”中只记录挖矿电脑的IP地址,如果电脑都是自动获取IP,还需要根据IP地址查询MAC地址信息。在“查询统计”-“上网记录”的“IP-MAC记录”中,根据“本地IP”搜索一下就可以查询到电脑的MAC地址。
