防御挖矿程序的最佳实践

为重点业务区开启强访问控制

重点业务通常需要对整个互联网开放服务或端口，而来自互联网的扫描、攻击会对企业的资产形成威胁，对外部的访问控制很难做到细粒度管控。而对某一台ECS、某一个EIP或内部网络主动外联场景下，域名或IP数量其实都是可控的，因为该类外联通常都是进行合法的外联访问。因此通过出方向的域名或IP访问控制，可有效防止ECS主机被入侵之后，利用恶意域名植入挖矿木马或木马与C&C进行通信等行为。

云防火墙支持对访问来源域名（含泛域名）、IP地址设置访问控制规则。针对重点业务的安全问题，可以通过配置一个强粒度的内到外访问控制策略，即重要业务端口只允许特定域名或者特定的IP进行访问，其他一律禁止。通过该操作可以有效地杜绝挖矿蠕虫下载、对外传播，防止入侵后阶段的维持与获利。

例如内网对外访问的总IP数为6个，其中NTP全部标识为阿里云产品，而DNS为我们所熟知的8.8.8.8，通过云防火墙的安全建议，我们可以将上述6个IP进行放行，而对其他IP访问进行全部拒绝。通过如上的配置，在不影响正常业务访问的情况下，防止其他对外连接行为，如恶意下载、C&C通信等。

您可以在云防火墙的访问控制 > 互联网边界防火墙页面的出向页签，创建出方向访问控制策略，对可信的外网IP进行放行，而对其他IP访问全部拒绝。