当前，利用挖矿木马实施的网络攻击呈现出不断增长的态势，挖矿木马已经成为服务器遭遇的最严重的安全威胁之一。挖矿木马背后的操纵者也在逐渐发展成为高度商业化的黑产组织。

挖矿木马是指通过恶意程序侵占多台计算机，建立众多的计算机傀儡，然后占用其计算资源和带宽，进行挖矿赚钱的病毒。计算机“中招”后，多表现为CPU与显卡负载极高、网络流量很大、网站异常卡顿等，严重影响主机运行。相较于其他网络黑产手段，挖矿木马具备快速变现的特点，备受黑客青睐。

黑客是如何入侵主机植入挖矿木马的？

黑客大多先通过系统漏洞寻找入侵点，然后将挖矿木马植入到系统后进行攻击实施获利。入侵前后状态如下图

大多数情况下，网络安全建设相对薄弱的网站，更容易感染挖矿木马。同时，承载着这些网站的主机安全建设是否完善，也和病毒感染息息相关。但随着企业数据爆炸式的增长速度,传统的入侵检测系统在面临海量数据监测时，较难以满足入侵检测的实时性、有效性和准确性。

基于此，互盟云计算推出主机入侵检测服务，通过在主机上部署轻量级Agent，结合云端的威胁情报和大数据分析平台，可以对主机入侵检测提供事前发现风险、事中识别攻击和事后检测入侵的能力，提升网站的安全性。

入侵检测服务工作原理图

风险发现
主机入侵检测服务首先根据Agent内置的弱口令库，检测SSH、PAM等安全配置是否使用了弱密码,并对系统漏洞、常见数据库、风险文件、系统端口、账户安全等进行批量安全基线检测，识别发现主机可能存在的入侵点或不安全配置，并给出完善的加固策略，降低主机被入侵的风险。

攻击识别
主机入侵检测服务通过异常登录、暴力破解等方式，可以实时对高危攻击进行检测。例如：当系统检测主机的登录行为，为非常用登录地、非指定登录账号、非规定登录时间，系统会实时告警。如果检测出存在对系统账号的暴力破解密码的行为，也会过邮件、短信等方式通知管理员，以便管理员能在第一时间处理。

事后入侵监测
事后入侵检测主要检测黑客入侵主机之后实施的恶意行为和遗留的入侵痕迹，通过检测异常登陆、异常进程、日志检索、文件篡改、文件缺失、开机启动项、病毒木马、可疑账号（例如：影子账户、隐藏账户、克隆账户）等入侵行为，及时清理黑客的入侵痕迹。

统一管理
此外，主机入侵检测平台支持对主机资源进行批量管理、分组管理、标签管理等管理方式，并且支持跨平台统一管理，例如：互盟云主机与非网站云主机，Windows平台与Linux平台都可以统一到互盟云计算平台管理，便于网站能更方便的运营维护。
 
黑客攻击猖獗，互盟云计算主机入侵检测能够帮助企业降低黑客入侵的风险，做好网络安全防范工作，保障企业网站稳定运行。