Ho scoperto che un utente sta effettuando connessioni ai domini relativi al coin-mining. C'è un modo per fermare questa attività, rispetto a quell'utente?
Dipende dal contesto di queste connessioni, ma le cose che potresti fare sono:
Identifica se queste connessioni sono relative a qualcuno che sta solo navigando su minatori di monete (ad es. con l'intenzione di installarne una) o che sono fatte dal software / malware reale (il che significa che l'utente ha installato e funzionante). Se l'utente stava solo sfogliando i collegamenti ma non ha installato nulla, questa attività non è una minaccia;
Dai un'occhiata alla categorizzazione dei domini. Sembra adatto? I nomi dipendono dal fornitore che si utilizza, ma se si tratta di qualcosa come "Business", "Servizi Internet" o nessuna categoria, è probabile che siano consentiti anche se potrebbero non essere consentiti. In questo caso dovresti informare il venditore della falsa categoria, ricategorizzeranno i domini e la prossima volta queste connessioni saranno bloccate. Forse un blocco locale per domini particolari può essere applicato localmente, dal lato della tua azienda se segnali questa attività;
Se viene determinato che l'utente ha installato un minatore, disinstallalo o reinstalla l'intero host (dipende in realtà dalla politica della tua azienda come agire qui).
In questo caso c'è un ampio spettro di azioni possibili, a seconda del contesto, ma queste cose sopra sono le solite.
Sinkhole i domini.
Sia a livello di server DNS o nel file hosts dell'utente, farlo risolvere a 127.0.0.1.
Inoltre, sii consigliato: sempre più siti (anche quelli legittimi, purtroppo) stanno eseguendo Javascript bitcoin miners a pageload. Il grande che sta facendo ondate ultimamente è un coinhive, e sembra che anche gli autori di malware inizino a incorporarlo.