挖矿病毒应急思路

1. 遏制

当发现病毒时，首要任务是阻止其进一步扩散，并保留现场证据

• 确认事件：通过告警、资源占用异常（CPU、GPU 飙升）、网络流量异常、可疑进程等现象，确认是挖矿病毒事件
• 隔离受感染主机：
  • 物理隔离：最直接的方式，拔掉网线或断开 Wi-Fi 连接
  • 网络隔离：在交换机或防火墙上，将受感染主机的 IP 或 MAC 地址加入黑名单，或将其移动到隔离的 VLAN 中
• 保留现场：不要急于重启或关机，这会丢失宝贵的内存数据