我被“挖矿”了？

你的电脑是不是异常卡顿跑不动，你的网站是不是黑屏、崩溃、没响应，你的手机是不是闪退、发热、掉电快……那么，请一定要注意了，你的电脑可能正在被“挖矿”，你的手机也可能正在“挖矿”中。

“挖矿”让CPU/GPU高速运转，大量消耗电力资源，增加碳排放，不利于国家能源安全，不利于实现我国“碳达峰、碳中和”目标，同时扰乱金融秩序，诱发金融风险，滋生电信诈骗、洗钱、赌博等犯罪活动。

“挖矿”违规吗？

使用学校的场地、电力、网络和设备进行虚拟货币“挖矿”都是违规行为。主动“挖矿”、被动“挖矿”均为国家和教育部所禁止。全校师生员工应提高网络安全意识，规范上网行为，积极做好排查防范。不要以任何形式参与主动“挖矿”！对个人上网终端、办公科研主机落实安全防护措施，防范上网终端感染病毒而产生被动“挖矿”行为。

学校已经全天候监测校园网络安全态势，密切监视“挖矿”活动，发现一起处理一起。请接到通知的师生员工积极配合，尽快完成技术处置。

怎样知道电脑被“挖矿”

1. 检查进程行为

Windows下通过“任务管理器”查看CPU占用情况，如发现异常任务，可立即结束该任务。

Linux下通过 top 命令查看 CPU 占用情况，并按 C 键通过占用率排序，查找 CPU占用率高的进程，如发现异常，可用pkill命令杀死相关进程。

2. 检查网络连接状态

通过netstat -anp 命令查看主机网络连接状态和对应进程，是否存在异常的网络连接。

3. 检查自启动或任务计划脚本

查看自启动或定时任务列表。Windows下进入“计算机管理”（右击“我的电脑”—“管理”）的“任务计划程序”查看定时任务有无异常，Linux下通过 crontab 查看当前的定时任务有无异常。

4. 检查配置文件

查看主机配置文件有无异常，如Windows的C:/Windows/System32/drivers/etc/hosts， Linux的/etc/hosts、iptables等。

5. 检查日志文件

Linux下查看/var/log下的主机或应用日志，以及内部网络和主机的安全防护设备告警和日志信息，查找有无异常。

中了”挖矿”病毒怎么办？

一旦中了“挖矿”病毒，最好是备份文件后重装系统。因为“挖矿”病毒通常会使用常见的攻击技术进行植入、执行，例如使用任务计划持续性执行或在 Linux 环境下利用crontab 定时任务执行等。“挖矿”病毒还会利用混淆、加密、加壳等手段对抗检测，搜索并终止常见的防病毒产品并修改防火墙策略。目前常见的“挖矿”病毒超过30种，Linux和Windows都有，每一种的清理方式都不一样，而且病毒也在不断进化中，重装系统对于校园网用户是相对比较容易的恢复系统正常工作并实现“挖矿”动态清零的方法。

如何防范“挖矿”病毒？

“挖矿”病毒怎么防？特别提醒广大校园网用户注意以下事项：

· 安装并使用官方正版安全软件，不随意退出防护功能；

· 不要点击来源不明的邮件附件、QQ、微信中的文件，必须打开这些文件时，如果安全软件提示拦截或报毒，切勿继续执行；

· 尽量关闭不必要的文件共享；

· 及时更新系统，更新应用程序；打全系统及应用程序补丁；

· 采用高强度的密码，避免使用弱密码，并定期更换密码；

· 对于在线系统和业务需要采用正确的安全配置策略，使用严格的认证和授权策略；

· 加强人员的安全意识，避免访问带有恶意“挖矿”程序的文件、网站；

· 制定相关安全策略，杜绝内部人员的主动“挖矿”行为。

更多关于”挖矿”病毒的检测和防范的技术细节，请参考：

https://its.pku.edu.cn/announce/tz20201103220915.jsp 和 https://its.pku.edu.cn/announce/tz20190830153200.jsp。

师生如遇相关问题或疑难，欢迎来电来信咨询，计算中心服务热线：62751023，服务邮箱：its@pku.edu.cn。

背景信息：

一、什么是“挖矿”？

虚拟货币“挖矿”活动，是指通过专用“矿机”计算生产虚拟货币的过程。以比特币为代表的虚拟货币，是去中心化的区块链系统，需要网络节点运行、维护，将每一特定时间的交易信息打包上链，从而获得系统发行的虚拟货币作为奖励。

运行这些网络节点的个人或机构被称为“矿工”，这些计算节点则被称为“矿机”。“矿工”通过购买专用计算机设备竞争交易信息记录上链的权力，并向整个区块链系统播报，俗称为“挖矿”。

二、“挖矿”的危害

“挖矿”不仅消耗大量计算资源，使系统、软件、应用服务运行缓慢，甚至还可能使系统崩溃，造成数据丢失。

“挖矿”还会造成大量的能源消耗和碳排放，违背新发展理念，不利于国家碳达峰、碳中和目标的实现。

个人电脑或服务器一旦被“挖矿”程序控制，则会造成数据泄露，容易引发网络安全问题。

虚拟货币使用匿名进行交易，扰乱正常的金融秩序，往往成为洗钱、非法转移资产等违法犯罪活动的工具。

三、国家政策

2021年5月，国务院会议要求“打击比特币挖矿和交易行为，坚决防范个体风险向社会领域传递”；9月，国家发改委等十一个部门联合发布《关于整治虚拟货币“挖矿”活动的通知》，要求“严厉打击虚拟货币挖矿”；同日，中国人民银行发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》，明确虚拟货币相关业务活动属于非法金融活动。11月，国家发改委举行新闻发布会，将以产业式集中式“挖矿”、国有单位涉及“挖矿”和比特币“挖矿”为重点开展全面整治。

四、什么是“挖矿”病毒？

“挖矿”病毒主要依靠僵尸网络和网页“挖矿”两种方式进行“挖矿”活动。僵尸网络是黑客通过入侵计算机植入木马病毒，然后继续入侵更多计算机，从而建立起庞大的网络一起“挖矿”。而网页“挖矿”则是将病毒植入网页之中，在用户打开该网页时，就会解析脚本进行“挖矿”，致使用户系统资源被恶意占用和消耗,出现卡顿、死机等现象,使得硬件寿命缩短，同时消耗大量电力资源。

五、如何感染的“挖矿”病毒？

总结起来，感染“挖矿”病毒主要有如下三种途径：

1、利用类似其他病毒程序的传播方式

常见有钓鱼邮件、色情内容诱导、伪装成热门内容的图片或文档、捆绑正常的应用程序等，当用户被迷惑并打开恶意的文件后，恶意“挖矿”程序会在后台执行并悄悄地进行“挖矿”。

带病毒链接的钓鱼邮件

2、利用漏洞入侵

由于暴露在网络上的计算机未及时更新系统或补丁，存在安全漏洞，或系统弱密码被破解，等等，导致计算机被植入“挖矿”病毒。

3、校内人员私自安装和运行“挖矿”程序

有极少数用户主动进行“挖矿”牟利，国家已经明令禁止，要严厉打击。

（原文发布于北京大学校内信息门户https://portal.pku.edu.cn/portal2017/#/deptNoticeDetail/402388）