1.发现一条远控木马的告警

1.确认时间真实性
2.查询情报信息——时效性、相关的情报信息
3.定位受害ip
4.排除误报
资产，用户触发
5.关联分析——定位被扩散的资产
6.溯源分析
7.提出处置建议+出报告

2.远控木马活动事件-传播途径

木马的传播途径
—般中招过程如下:
1，网站,终端,浏览器符存在漏洞,漏洞利用后恶意样本投递:
主机漏洞，web漏洞，数据库漏洞，浏览器漏洞，第三方软件(如realplayer,迅雷,暴风影音等)漏洞，人为
因素,ARP欺骗等
2，恶意投递行为:
邮件。鱼叉式和钓鱼式。
其他社交网络:微信，Q0,tele， facebook等
3，网站挂马访问:
其他网站被挂马，嵌入恶意代码来传播，受害主机无意访问致使中招
4,供应链传播:
软件升级处被攻陷，驱动人生，华硕系统升级等
5，传统传播方式:
利用移动存储设备(U盘)等来传播。

3.如何防护恶意挖矿攻击

1.企业网络或系统管理员以及安全运维人员应该在其企业内部使用的相关系统，组件和服务出现公开的相关远程利用漏洞时，尽快更新其到最新版本，或在为推出安全更新时采取恰当的缓解措施
2.对于在线系统和业务需要采用正确的安全配置策略，使用严格的认证和授权策略,并设置复杂的访问凭证
3.加强企业机构人员的安全意识，避免企业人员访问带有恶意挖矿程序的文件、网站
4.制定相关安全条款，杜绝内部人员的主动挖矿行为
5.关闭占用CPU极高的挖矿木马进程，删除木马文件，修补相应漏洞
6.浏览器安装防屏蔽拓展插件: minerBlock

4.手工排查-技术排查法

1．进程行为
通过top命令查看CPU占用率情况，并按C键通过占用率排序，查找CPU占用率高的进程
2.网络连接状态
通过netstat -anp命令可以查看主机网络连接状态和对应进程，查看是否存在异常的网络连接。
3.自启动或任务计划脚本
查看自启动或定时任务列表，例如通过crontab查看当前的定时任务。
4．相关配置文件查看主机的例如/etc/hosts，iptables配置等是否异常。
5.安全日志文件
通过查看/var/log下的主机或应用，安全设备日志，例如查看/var/log/cron*下的相关日志。

5.挖矿木马-修复建议

1 关闭占用CPU极高的挖矿木马进程;
2在内网DNS、防火墙等设备屏蔽矿池域名与IP;
3检查redis等应用和系统弱口令，增强口令复杂度，避免黑客暴力破解植入木马;4 .对于网页挖矿js脚本，可以选择在浏览器安装屏蔽扩展: minerBlock