随着互联网技术的不断发展,网络攻击事件日益频发,其中之一的病毒挖矿已经成为了近年来网络安全的头号隐患。病毒挖矿可以通过利用计算机的计算资源进行加密货币的挖掘,这种行为不仅会导致计算机性能下降,还会给计算机系统带来额外的安全风险。为了保护计算机的安全和网络的稳定性,必须采取一系列措施,封掉病毒挖矿端口是其中重要的一项。
一、病毒挖矿的危害
病毒挖矿是指黑客通过在受害者计算机上植入病毒程序,利用计算机的计算资源进行加密货币的挖掘。这种行为不仅会导致计算机性能下降,还会消耗大量的电力资源,使计算机负载加重,从而导致系统崩溃或死机。更为严重的是,病毒会让计算机被远程控制,成为黑客的僵尸网络节点,从而导致个人信息泄露、网络攻击等问题。
二、端口封堵的原理
病毒挖矿是依靠开放的本地端口实现的,一般使用的是TCP/IP协议。因此,封锁端口就成为防范病毒挖矿攻击的重要手段。端口封堵的原理是在网络设备(如路由器、交换机等)上关闭和屏蔽攻击所依赖的端口,使其无法访问服务器或客户端,从而遏制病毒的传播。
三、端口封堵的操作步骤
1、确定需要封锁的端口,一般为3333、5555、7777等,通过网络监控工具查看网络活动情况。
2、在路由器或交换机等网络设备上,创建ACL(访问控制列表),规定需要封堵的端口号。
3、配置ACL并启用,测试封堵效果。
四、端口封堵的优点
1、重要性原则:病毒挖矿端口封堵的优劣取决于该端口的重要性,不会影响计算机日常的网络使用。
2、低耗性:病毒挖矿端口封堵不需要占用太多系统资源和物理带宽,容易实现。
3、高效性:病毒挖矿端口封堵可以防止源源不断的病毒攻击,有效遏制病毒的传播。
4、即使在病毒侵入计算机后,也可以限制病毒在局部范围内,避免病毒向更广泛的网络扩散。
五、端口封堵的局限性
1、端口封堵可以预防已知的病毒挖矿攻击,但对未知的攻击有效性较弱。
2、病毒也可以使用其他方式绕过封锁,如使用加密协议或其他端口等。
3、端口封堵是一种被动的防御措施,不能主动防范病毒攻击。
结论:端口封堵是一种重要的网络安全策略,它可以遏制病毒挖矿的传播,保护计算机和网络的安全。但是,在应对病毒挖矿攻击的过程中,端口封堵只是其中的一种手段,还需要与病毒扫描、流量分析、漏洞扫描等举措相结合,形成一套完整的网络安全防护体系。只有如此,才能实现更加全面、深入的网络安全防护,更大程度地保证网络和计算机的数据安全。
相关问题拓展阅读:
- 如何打开被封的端口?
- 服务器被攻击并植入kdevtmpfsi挖矿/病毒/木马
如何打开被封的端口?
1、右键点击“网上邻居”,选择“属性”,然后双击“本地连接”(如果是拨号上网用户,选择“我 的连接”图标),弹出“本地连接状态”对话框。 2、点击按钮,弹出“本地连接 属性”,选择“此连接使用下列项目”中的“Internet协议(TCP/IP)”,然后点击按钮。 3、在弹出的“Internet协议(TCP/IP)”对话框中点击按钮。在弹出的“高级TCP/IP 设置”中,选择“选项”标签,选中“TCP/IP筛选”,然后点击按钮。 4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框,然后把左边“TCP端口”上的“只允许”选上。 这样,您就可以来自己添加或删除您的TCP或UDP或IP的各种端口了。 添加或者删除完毕,重新启动机器以后,您的服务器就被保护起来了。 最后,提醒个人用户,如果您只上网浏览的话,可以不添加任何端口。但是要利用一些网络联络工具,比如OICQ的话,就要把“4000”这个端口打开,同理,如果发现某个常用的网络工具不能起作用的时候,请搞清它在您主机所开的端口,然后在“TCP /IP“里把此端口打开
这里说的端口被封是游戏运营商封了你上网所用的网络设备(电脑或MODEM或路由器等)的MAC地址,每一个网络设备的MAC地址出厂时就唯一了。只能让游戏运营商来解封一般游戏运营商封你端口的原因,一就是用外挂,二就是非法修改游戏客户端另外你说的如果是登录游戏后无法连接服务器的话,有可能是网络部稳定,或网速太低造成获取服务器不到。跟人共享上网,很多时候会出现网速太低而很多游戏玩不了的情况
服务器被攻击并植入kdevtmpfsi挖矿/病毒/木马
MongoDB库中的数据莫名其妙没有了,发觉如下信息:
1、
top -d 5命令
,查看系统负载情况、是否有未知进程,发现一个名为kdevtmpfsi的进程,经科普它是一个挖矿程序,会占用服务器高额的CPU、内存资源。如图,CPU占用率高达788.7%,而且是yarn用户下:
2、
ps -ef |grep kdevtmpfsi
命令查看 该挖矿程序路径:/tmp/kdevtmpfsi
3、
ps -ef |grep yarn
命令查看更多关于yarn相关进程信息(此时我的服务器并没有开启yarn服务,如果有yarn的相关进程则可判断是攻击者开启的进程),发现另外还有个kinsing进程,经科普kinsing进程是kdevtmpfsi的守护进程:
4、
netstat -lntupaa
命令查看是否有异常的ip,果然发现194.87.102.77这个陌生的ip,判断是kdevtmpfsi的发出者:
5、经查询该ip的所在国家是俄罗斯:
6、
find / -iname kdevtmpfsi
命令再次确定命令所在位置以便删除:
7、
cd /tmp
进入相关目录:
8、
rm -rf kdevtmpfsi
删除kdevtmpfsi程序:
9、** kill**杀掉kdevtmpfsi进程:
10、发现并没杀掉所有kdevtmpfsi进程,再次查找yarn的相关进程(因为之前已确认病毒是在yarn下),果真还有kdevtmpfsi进程存在:
11、用命令
批量杀掉
相关进程:
12、删除kinsing文件:
13、现在,已经把挖矿程序及相关进程删除掉了,但是还有两处没做处理:
14、
crontab -l
命令先看看crontab的定时任务列表吧:
15、编写删除挖矿程序脚本
kill_kdevtmpfsi.sh
:
16、新增
定时任务
并删除攻击者的挖矿定时任务:
17、
crontab -l命令
查看现在只有杀进程的定时任务了:
18、禁止黑客的IP地址。
最初安装MongoDB时,并未设置密码认证,存在漏洞,导致黑客通过漏洞攻击服务器,并在程序里植入木马/病毒。单纯的kill -9 id杀掉病毒进程是杀不彻底的,治标不治本,应该定时删除病毒进程,禁止攻击者IP,重新安装系统或相关软件。
经过几天的观察,服务器运行正常,再没有被黑客攻击成功。
关于服务器封掉挖矿病毒端口的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。
