现场还原：云平台遭跨境挖矿病毒偷袭，天融信上演攻防“闪电战”

当下，全球数字化浪潮奔涌向前，云计算已跃升为承载海量业务与汇聚核心网络的关键支柱，成为推动各行业数字化转型、激发创新活力的核心引擎。

据IDC预测，2021—2026年中国数字化转型市场中，云部署相关的支出复合增长率（CAGR）将达到31.5%。然而，随着云计算的广泛应用，其安全风险也日益凸显。近年来，研究人员发现我国活跃挖矿主机数量显著增加，境外IP地址与境内主机的通联次数频繁，跨境挖矿病毒攻击形势日益严峻。

危机突袭

近日，某云上用户发现平台日常监测数据突发异常，用户业务平台多台主机CPU占用率骤然飙升，且与境外IP地址建立了可疑连接。经初步分析，这是一起针对云上用户核心业务的跨境挖矿病毒定向攻击，直接威胁用户数据安全与服务稳定性，急需立即遏制攻击扩散。

面对攻击威胁，客户紧急提出三项核心处置诉求：

快速定位并统计失陷主机，精准锁定病毒源头。

防止病毒卸载安全产品，确保安全解决方案能够成功部署并开展统一查杀工作。

完成病毒溯源分析，全面发现并修复已利用的漏洞，杜绝安全隐患。

风险定位

揭秘病毒的“三重恶意特性”

遭受攻击的第一时间，天融信立即尝试安装自适应及EDR客户端查杀，发现安装失败。经排查，发现该挖矿病毒通过劫持功能隐藏自身并阻止杀毒软件安装，导致客户端无法正常安装。

展开全文

进一步分析发现，病毒在运行时会以root权限强制删除EDR客户端，天融信立即将这一行为集成到专杀脚本中，以增强防护能力，有效对抗病毒。

在溯源过程中，天融信发现黑客删除或重定向了大量日志文件，导致无法直接追溯攻击路径。根据黑客的行为特征以及病毒具备反复调用、系统劫持及自我隐藏特性，天融信推测此次攻击可能来自网络。当前传统查杀工具难以生效，安全防护必须另辟蹊径。

精准破局

构建云主机立体化防御体系

针对病毒的复杂特性，天融信提出基于自适应安全防御系统的专业主机入侵防御解决方案，在云主机上部署自适应安全防御系统，通过卸载防护、快速定位、实时查杀、全盘扫描等一系列安全部署，实现云主机资产7x24小时自动化实时监控，协助客户快速排查、清除挖矿病毒。

卸载防护机制：凭借自适应安全防御系统的病毒免杀加固技术，有效避免了挖矿病毒的卸载行为，快速协助安全运营人员查杀入侵的挖矿病毒。

快速定位失陷主机：通过自适应的资产管理功能，迅速锁定CPU占用高的可疑主机，为后续的病毒查杀工作提供了明确的目标。

实时监控与查杀：开启病毒实时监控模式，一旦发现病毒文件，立即启动查杀程序。

全盘扫描与统一删除：针对锁定的可疑主机，下发全盘病毒扫描任务，对发现的病毒进行统一删除操作，彻底清除病毒威胁。

漏洞扫描与修复：在病毒分析完成后，协助安全运营人员发现潜在安全风险，及时下发漏洞扫描任务，全面发现并修复已利用的漏洞，从根源上杜绝病毒再次入侵的可能性。

安全自测：通过自适应安全基线模块，定时开展安全自测工作，进一步提升安全运营水平，确保政务云平台的安全性始终处于最佳状态。

持续监控与未知威胁防御：对主机系统进行全面监控，有效抵御未知攻击，精准阻断未知、加密或变种木马，实时产生风险及事件告警，将安全隐患消灭在萌芽状态。

深度复盘

筑牢云平台安全护城河

攻击事件平息后，天融信安全团队联合客户开展深度复盘，针对此次病毒攻击的技术特征与防御薄弱环节，在保障系统稳定运行、数据安全加固等多方面进行优化与部署，为后续抵御同类攻击提供了应急预案，加速筑牢云平台安全护城河。

保障系统稳定运行：通过实时监控和快速查杀病毒，确保系统不受病毒干扰，保障业务的连续性和稳定性。

数据安全加固：防止病毒窃取、篡改或删除重要数据，保障用户核心数据资产安全。

响应效率提升：快速定位失陷主机和病毒源头，缩短病毒处理时间，使安全运营人员能够及时采取措施，降低病毒扩散范围和影响程度。

系统安全性增强：通过漏洞扫描与修复，及时发现并解决系统中的安全漏洞，增强系统的整体安全性，降低未来遭受病毒攻击的风险。

资源优化增效：清除病毒对系统资源高占用问题，提高系统性能和运行效率，使有限的资源能够更好地服务于核心业务，提升整体运营效益。

随着数智化进程不断加速，云计算已从单纯的资源整合与弹性计算，逐步向以数据为核心、以智能为导向的智算方向演进。智算不仅要求更强的算力支撑，更强调数据处理、分析及模型训练的智能化能力，成为驱动各行业创新变革的新引擎。

天融信深入客户需求，持续夯实网络安全能力的同时发展云计算业务，推出的智算云平台、智算一体机等智算云产品可帮助客户快速实现信息化平台向智能化平台的升级，并提供全套网络安全保障方案，构建“智算+安全”双轮驱动的新型数字底座，助力客户安全、高效地迈向数智时代。