一、可疑IP、url和可疑文件分析

重点排查外联的境外IP，特别是被威胁情报平台标记为恶意的IP。在百度上直接搜索外联地址，可得出所在地信息，或者直接在下文的线上威胁平台查询也会显示：

在奇安信（https://ti.qianxin.com/）、微步在线（https://x.threatbook.cn/）、深信服（https://ti.sangfor.com.cn/）等威胁情报平台可以对IP、域名风险进行查询：

奇安信威胁平台（https://ti.qianxin.com/）、https://www.virustotal.com也支持上传可疑恶意文件进行线上评估，一般线上平台会对恶意文件利用多款扫毒引擎进行扫描评估（注意上传文件应不涉及隐私和数据安全）。

二、外联矿池的部分常用端口

挖矿通信时外联地址常用端口包括：3333、6688、4444、5555、13531、8888 、8080、9999 、2020 、1800 、14444、18888 、23333、23334、24443、8896、11010、12020、1003、1103、1445、3336、7777等等，以及普通上网也会用到的80和443端口。

三、搜索排查处置案例

可根据关键词“windows”或“linux”+“挖矿木马”或“挖矿处置”或“入侵排查”或“入侵检测”等进一步自行网上搜索更多资料；可基于发现异常进程名称、外连IP、访问的域名等关键词，自行针对性的搜索对应木马病毒排查处置案例。

安全应急响应参考链接：

https://bypass007.github.io/Emergency-Response-Notes/

https://blog.csdn.net/negnegil/article/details/120332020

挖矿综合处置参考链接：

https://ti.qianxin.com/uploads/2021/11/18/f4dd5058aed06883e8cb7fecf3286b1f.pdf

https://mp.weixin.qq.com/s/0r-BAWSRUkwCKrQ3qIWlzQ

2019-2021安全厂商挖矿趋势分析，可比对系统是否有常被挖矿木马利用的入侵漏洞

https://developer.aliyun.com/article/743012

https://cloud.tencent.com/developer/article/1797779

https://www.freebuf.com/articles/paper/319290.html