自2021年9月国家发展改革委等部门联合发布《国家发展改革委等部门关于整治虚拟货币“挖矿”活动的通知》以来，已进入全面整治虚拟货币“挖矿”活动时期。信息与网络中心高度重视“挖矿”安全问题并持续治理，我校严禁使用各类设备进行“挖矿”活动，请各位师生增强网络安全防范意识，做好日常防范，及时开展“挖矿”自查清理。

01校园挖矿是什么？

“挖矿”是指利用电脑硬件计算出数字货币的位置并获取的过程。网络黑客通过各种手段将挖矿程序植入受害者的计算机中，在受害者不知情的情况下利用其计算机算力进行挖矿，从而获取利益，这类非法植入用户计算机的挖矿程序就是挖矿木马。

“挖矿”活动不仅会大量耗费学校公共资源，损耗“矿机设备”性能和使用寿命，还会对其他相关设备、校园网运行甚至教学、科研工作造成严重影响。

02防范挖矿你我接力！

作为农大师生，掌握一定的网络安全技能非常必要，避免因自身存在漏洞而导致被“挖矿者”攻击、侵犯，下面我们来学习下“挖矿”木马入侵的传播途径、常见症状及如何自查。

03“挖矿”自查指南

1.查看CPU使用率

排查是否存在让CPU或内存使用率异常高的进程，排查启动项、计划任务等，如Windows主机使用tasklist命令检查可疑进程，taskkill命令杀死异常进程；Linux主机使用netstat命令查看是否存在不正常的网络连接，top命令检查可疑进程，pkill命令杀死异常进程。

2.查看文件所在位置

打开任务管理器，选择“详细信息”，找到资源监视器有疑问的进程，查看相关信息。找到可疑程序的位置将其删除。

3.查询IP属地

如Windows主机可使用netstat -ano命令，Linux主机可使用netstat -napt命令查看主机网络连接状态和对应进程，判断是否存在可疑的互联网IP和访问该IP的进程，可进一步通过网上的威胁情报查询IP归属地及是否为恶意IP。

4.查看自启动行为

Windows主机可在任务管理器“启动”栏查看是否有未知进程启用自启动，Linux主机可查看/etc/crontab有无可疑定时程序，如有，可能已感染挖矿病毒。

5.查看文件篡改行为

Linux主机若发现/etc/passwd文件下有增加陌生用户，/etc/rc.local文件增加陌生动态库文件，cat/proc/$$/mountinfo查看有进程被mount可能已感染挖矿病毒。

6.使用杀毒软件排查

使用杀毒软件定期进行全盘扫描，也能够发现挖矿木马，通常会扫描出Miner或永恒之蓝漏洞利用工具包的文件，表现为带有字符“ShadowBrokers”、“EternalBlue”，发现后及时查杀。

                                  信息与网络中心（信息化工作办公室）

                                             2025年9月25日