挖礦軟件會占用電腦的大量運(yùn)算資源和電力資源，而且會引起主管部門的關(guān)注。局域網(wǎng)內(nèi)有電腦被安裝了挖礦軟件是一件讓人很頭疼的事情，對成百上千臺電腦一臺一臺的進(jìn)行排查簡直就和大海撈針一樣，需要耗費(fèi)大量的時間和人力。所以很多網(wǎng)管人員面對上級部門發(fā)來的整改函一籌莫展。

因為局域網(wǎng)出口做了NAT網(wǎng)絡(luò)地址轉(zhuǎn)換，上級部門只能檢測到公司的公網(wǎng)IP，所以只能靠公司內(nèi)部的網(wǎng)管人員來排查具體的終端了。最笨的辦法就是一臺電腦一臺電腦的檢查，通過檢查程序列表和任務(wù)管理器來找挖礦程序。

本文中，我將介紹如何用WSG上網(wǎng)行為管理中的“入侵防御”功能來檢查挖礦電腦。因為WSG上網(wǎng)行為管理是部署在局域網(wǎng)內(nèi)部的，所以可以檢測到本地挖礦電腦的IP地址和MAC地址，從而準(zhǔn)確的定位到具體電腦。

1. 開啟入侵防御功能

如下圖，在WSG上網(wǎng)行為管理的“安全防護(hù)”-“入侵防御”中，點(diǎn)擊“IPS檢測項”，就可以看到入侵防御的各個選項。

挖礦軟件的檢測主要在“木馬檢測”這個大分類下面，每個大類還有一些小類，點(diǎn)擊小類可以查看每個小類中的特征庫內(nèi)容。

點(diǎn)擊查看，可以查看每個小類的特征庫明細(xì)列表。

2. 查詢?nèi)肭址烙挠涗洑v史

在“入侵防御”的“記錄查詢”中，會記錄入侵防御的檢測歷史。您可以根據(jù)IP地址去定位實際的電腦。然后對這臺電腦進(jìn)行查殺整改。

3. 查詢電腦的MAC地址

在“入侵防御”中只記錄挖礦電腦的IP地址，如果電腦都是自動獲取IP，還需要根據(jù)IP地址查詢MAC地址信息。在“查詢統(tǒng)計”-“上網(wǎng)記錄”的“IP-MAC記錄”中，根據(jù)“本地IP”搜索一下就可以查詢到電腦的MAC地址。