几年前，一则哭笑不得的新闻让人印象深刻：赵小姐国庆长假举家出游，不料家中遭遇贼手，更令人匪夷所思的是，小偷卷走财物后，非但没有逃跑，反而在失主家中住了下来，每日生火做饭、晾晒衣物……

这奇葩的场景如今日日在网络世界中上演，如果有一天，你发现你的电脑/手机/智能电视不仅反应奇慢，而且异常发烫，耗电量急剧上升，那么很可能，你的设备里进了一个猖狂的“小偷”。

它就是臭名昭著的挖矿木马。

比特币、门罗币、莱特币、夸克币……近年来随着虚拟货币价格的一路飙升，越来越多人前赴后继地涌入“挖矿”这个队伍中。老实本分的，购买挖矿设备，逐电厂而居，歪门邪道的，开始动起个人及企业设备算力的心思，各类挖矿木马事件层出不穷。

今年早些时候，全球超过4200个网站，包括美国、英国及澳大利亚政府及公共部门的网站，被植入挖矿代码，用户在访问网站时，被偷偷运行挖矿脚本，利用个人用户的计算机算力为黑客挖矿。

国内也出现了类似事件，今年2月，不少网友反馈，在“快看漫画网”上浏览网页过程中，电脑会出现卡顿、异常发热的情况。

为什么挖矿木马如此猖獗？
超高利益
“区块链”“比特币”成为近年来最火的词汇，甚至有人将2017年定义为数字货币的元年，从前炒股的纷纷转向炒币，甚至有“炒股一年比如炒币一日”之说。数字货币价格的不断走高，成为了挖矿木马猖獗的根本原因。

据统计，劫持2000台电脑的攻击者每天可以获利500美元，年收益18.25万美元。根据Talos的数据，对于包含数以百万计的被感染系统的僵尸网络操纵者来说，每年的挖矿收益可以超过1亿美元。

超低门槛
大多数挖矿木马，都是用于挖掘门罗币的，不同于比特币，门罗币使用了CryptoNight挖矿算法，这种算法允许了任何人都可以在自己的个人设备上进行挖矿，CPU效率是最高的。

在利用肉鸡刷广告、发起DDoS攻击的变现能力越来越差的今天，门罗币的崛起，似乎给了黑客发家致富的新思路。其实归根结底，黑客们之所以能够轻易得手，主要还是因为各种系统的漏洞，从一个漏洞被发现，到所有的系统打上补丁或者升级，这需要很长的一段时间，而在这一段时间里，黑客早已偷偷侵袭。
超难追踪
过去比特币一直被认为是“犯罪货币”，所以执法机构已经开发出追踪技术来追踪比特币交易记录。而相比于比特币，门罗币的匿名信更强，更容易获得黑客的“青睐”

挖矿木马已从个人设备蔓延至企业网络
如果说利用个人设备那点可怜的算力进行挖矿算是小打小闹的话，那么利用云计算资源非法挖矿的行为就非常值得我们警惕了。

有研究机构指出，犯罪分子已经开始在GitHub等网站上搜寻AWS等云服务商的密钥，以使用云计算资源进行挖矿。

网宿云安全平台近期就监测到多起利用企业服务器进行非法挖矿的事件。
某医院服务器被入侵，已偷偷挖矿好几个月
某市医院IT部门对服务器进行例行安全检查时，发现CPU一直处于高负载运行状态，经排查发现是某一未知进程在大量占用CPU，因此怀疑服务器被黑客入侵。

随后该院IT负责人向网宿安全专家求助，网宿安全专家对恶意程序逆向分析后判断为门罗币挖矿程序，经进一步取证分析发现，黑客通过某开源扫描器发现用户网站存在struts2命令执行漏洞，利用struts2漏洞向网站写入webshell攻破网站，植入门罗币挖矿程序。

需要警惕的是，如果攻击者可以操控你的服务器进行挖矿，那么他们实际上已经获得了服务器的权限，那就代表他们有能力执行其他恶意行为，比如窃取数据或安装恶意软件。

被挖矿怎么办？网宿来帮你！
对于网宿云安全平台客户，我们也提供了解决方案，能够帮助客户建立起事前-事中-事后完整的纵深防御体系，保护企业免受挖矿木马的侵扰。
事前：安全风险评估
企业安全建设的重要一环就是安全风险评估，网宿可以提供漏洞扫描及渗透测试服务帮助客户全方位的评估安全风险，并提供专业的修复方案。协助企业及时发现面临的安全问题，及时修复，避免安全风险被利用造成损失。
事中：云WAF实时防御
网宿云WAF采用智能规则库+AI自学习引擎的双引擎方式实时检测网站请求流量，及时阻止恶意攻击请求保护网站安全。

事后：Webshell检测、挖矿木马防护
对于已被入侵的客户，网宿云WAF的基于用户行为分析的webshell检测功能，可以协助客户及时清理黑客在网站上遗留的webshell。若网站已被植入js挖矿链接，网宿云WAF的自学习防御算法，能够实时检测出挖矿链接的存在。