云服务器挖矿 青腾云安全出品:关于挖矿你需要知道的一切

nebularpool4周前

云服务器挖矿 青腾云安全出品:关于挖矿你需要知道的一切

玩客云挖矿技巧_云服务器挖矿_云尊联盟 挖矿

(通常称为恶意挖掘)是一种新兴的在线威胁,它隐藏在服务器或 PC 等设备上,并利用设备资源“挖掘”加密货币。虽然相对较新,但采矿威胁已成为最常见的网络威胁之一,并有可能成为网络世界的下一个主要安全威胁。

与网络世界中的大多数其他恶意攻击一样,挖矿的最终动机是盈利。在了解采矿机制以及如何保护自己免受采矿之前,需要一些背景知识。

什么是加密货币

加密货币是一种仅存在于网络世界中的数字货币形式,没有实际的物理形式。它们作为分散的货币单位存在,可以在网络参与者之间自由转移。

与传统货币不同,加密货币不受特定政府或银行的支持,也没有政府监管或加密货币中央监管机构。加密货币的去中心化和匿名性质意味着没有监管机构来决定有多少资金将流入市场。

大多数加密货币开始通过“挖矿”进入流通。挖矿本质上是将计算资源转化为加密货币。起初,任何拥有计算机的人都可以挖掘加密货币,但很快就变成了军备竞赛。今天,大多数矿工使用功能强大的专用计算机全天候挖掘加密货币。不久云服务器挖矿,人们开始寻找新的加密货币挖矿方式,挖矿木马应运而生。黑客无需购买昂贵的矿机,只需感染普通计算机,盗取他人资源,为自己谋取利益。

什么是“挖矿”行为

“挖矿”是指在受害者不知情或未经许可的情况下,使用他人的设备在受害者的设备上秘密挖掘加密货币的做法。黑客利用“挖矿”从受害者的设备中窃取计算资源,从而获得执行复杂加密操作的能力。

以比特币挖矿为例云服务器挖矿,每个时间点,比特币系统都会在节点上生成一个随机码,互联网上所有的电脑都能找到这个码,谁找到这个码就会产生一个随机码块。根据比特币发行的奖励机制,每产生一个区块,节点都会收到相应的奖励。这个寻找代码以获得奖励的过程就是挖矿。但是,要计算出一个满足条件的随机码,需要进行数万亿次的哈希运算,所以一些黑客会通过入侵服务器等方式让别人的电脑帮自己挖矿。

挖矿攻击非常危险,因为挖矿利用计算机的中央处理器 (CPU) 和图形处理器 (GPU),在极高负载下运行它们。这就像开车上山时猛踩油门或打开空调,减慢所有其他计算机进程云服务器挖矿,缩短系统寿命,最终导致计算机崩溃。当然,“矿工”可以通过多种方式“奴役”你的设备。

第一种方法:就像恶意软件一样,一旦点击恶意链接云服务器挖矿,它就会将加密代码直接加载到您的计算机设备上。一旦计算机被感染,矿工就会开始挖掘加密货币,同时保持隐藏在后台。因为它会感染并驻留在计算机上,所以它在本地是一个持续性威胁。

第二种方法:称为基于网络的加密攻击。类似于恶意广告攻击,例如将一段代码嵌入网页。之后,它会在访问该页面的用户的计算机上进行挖矿,这个过程不需要权限,并且在用户离开原网站后仍能长时间保持运行。用户认为可见的浏览器窗口已关闭,但隐藏的窗口仍保持打开状态。

如何查找和删除“挖矿”木马

当出现以下情况时,说明你的设备很可能被恶意挖矿。

玩客云挖矿技巧_云尊联盟 挖矿_云服务器挖矿

1.CPU 使用率仍然很高;

2. 响应时间很慢;

3.设备过热,散热风扇长时间高速运转;

此时需要判断设备本身(主要是服务器)是否感染了挖矿木马或浏览器挖矿。

你对服务器挖矿了解多少?

目前,服务器挖矿最常用的入侵方法是SSH弱密码和未经授权访问Redis。其他常见的入侵方式如下:

(1)未授权访问或弱密码。包括但不限于:API未授权访问、Yarn未授权访问、NFS未授权访问、rsync弱密码、弱密码、弱密码、弱密码、远程弱桌面密码.

(2)新的高危漏洞。每次新的高危漏洞,特别是命令执行漏洞,那些长期致力于挖矿盈利的黑客或矿工都会及时更新挖矿。因此,在新漏洞爆发后,黑客将紧跟一波大规模全网扫描和挖矿操作。

比如2018年爆发的反序列化漏洞、命令执行漏洞,甚至12月份爆发的远程命令执行漏洞,都被矿工家族用作挖矿的攻击载荷。

一旦发现服务器有挖矿迹象,我该怎么办?需要确认挖矿进程云服务器挖矿,挖矿进程所属用户,查看用户进程,尽快清除挖矿木马。

01 确定挖矿过程

可以使用top命令直接过滤掉占用CPU过多的可疑进程,以确定挖矿进程。比如一些挖矿过程的名称是由不规则的数字和字母组成的,可以直接看到(比如ddg的qW3xT.4或者zigw等)。

云服务器挖矿_玩客云挖矿技巧_云尊联盟 挖矿

当然,也有可能将挖矿过程修改为通用名称,干扰运维人员。但是这种伪装方法比较简单(比如使用XHide修改进程名或者直接修改可执行文件名),所以在排查过程中,还要注意所有占用高CPU的可疑进程。

玩客云挖矿技巧_云服务器挖矿_云尊联盟 挖矿

如果看到可疑进程,可以使用lsof -p pid查看该进程打开的文件云服务器挖矿,或者/proc/pid/exe指向的文件。

玩客云挖矿技巧_云服务器挖矿_云尊联盟 挖矿

云服务器挖矿_云尊联盟 挖矿_玩客云挖矿技巧

玩客云挖矿技巧_云服务器挖矿_云尊联盟 挖矿

从上图可以看出,进程指向的文件显然是异常文件,此时需要重点关注该文件。

另外,如果挖矿木马具有隐藏进程的功能,则很难直接从顶部确定可疑进程名称。这时候可以从以下几个方面进行检查:

1、系统命令是否被替换

使用 rpm -Va 检查系统命令是否被替换。如果系统命令已经被替换,可以直接将纯系统中的ps、top等命令复制到被感染的主机上使用。

云尊联盟 挖矿_玩客云挖矿技巧_云服务器挖矿

可以看到系统ps、lsof这三个命令被替换了。

ps命令被替换后,ps输出的内容被修改,从而隐藏了可疑进程。这种情况下,如果直接使用ps命令,查询会不准确。例如,gates 木马将替换 ps 命令。直接使用ps -ef 命令查看进程时,会隐藏/usr/bin/ 中的一个进程。如下图,使用系统可以看到可疑进程,但是使用系统ps命令看不到/usr/bin/bsd-port/recei进程。

云服务器挖矿_玩客云挖矿技巧_云尊联盟 挖矿

2、动态链接库是否被修改

如果找不到占用CPU高的进程,考虑检查动态链接库是否被修改,使用cat /etc/ld.so。或 echo $ 命令检查是否有预加载的动态链接库文件。

也可以使用ldd命令查看命令依赖库中是否有可疑的动态库文件,如图,将.so文件添加到ld.so后。文件,ldd命令可以看到top命令预加载了可疑动态库。

玩客云挖矿技巧_云尊联盟 挖矿_云服务器挖矿

确认已加载恶意动态链接库后,直接删除恶意动态链接库文件或清除ld.so中库文件的引用内容。

3、以上所有情况都可以通过静态编译直接检查。

02查看挖矿过程的用户

一般来说,挖矿进程是一个自动化的攻击脚本,所以很少有提权的过程,所以很可能属于挖矿进程的用户就是攻击系统的用户。后续的排查过程可以以此为基础找到攻击者的入侵路径。

云尊联盟 挖矿_云服务器挖矿_玩客云挖矿技巧

你可以从两个方面看到挖矿过程的用户。

03 查看用户进程

确定丢失用户后,可以查询该用户所属的其他进程,判断其他进程是否存在已知漏洞(反序列化、串行漏洞、RCE)或弱密码(Redis未授权、yarn未授权、SSH弱密码)以及其他问题。

云服务器挖矿_云尊联盟 挖矿_玩客云挖矿技巧

可以看出,用户名下除了两个挖矿进程外,还有一个应用进程,所以此时要判断应用是否存在已知漏洞(如反序列化漏洞)。如果有,那么挖矿过程很可能会利用该漏洞来获取对主机的访问权限。

04 确定原因

发现挖矿木马后,分析木马的类型,根据木马的传播特点和传播方式初步判断入侵原因。然后结合应用日志和漏洞利用的残留文件,判断该漏洞是否在本次攻击中被利用。

比如利用redis的未授权访问漏洞后,一般会修改redis和dir的配置,而使用redis写文件时,文件中会保留redis和版本号标识。可以检查使用上面两个信息是否使用。 redis。

玩客云挖矿技巧_云服务器挖矿_云尊联盟 挖矿

云尊联盟 挖矿_云服务器挖矿_玩客云挖矿技巧

05 移除挖矿木马

1、及时隔离宿主

云尊联盟 挖矿_玩客云挖矿技巧_云服务器挖矿

部分具有蠕虫功能的挖矿木马,在获得本机控制权后,会以本机为跳板,扫描并进一步利用同一局域网内其他主机的已知漏洞。现象发生后,在不影响业务的情况下,应及时隔离被感染主机,然后进行下一步分析。

2、阻止与矿池的通信

-A 输入 -s -j 删除

-A -d -j 删除

3、清除计划任务

大部分挖矿进程会在被感染主机中写入定时任务,完成程序的驻留。当安全人员仅清除挖矿木马时,定时任务会再次从服务器下载挖矿进程或直接执行挖矿脚本,导致无法清除挖矿进程。

使用 -l 或 vim /var/spool/cron/root 查看是否有可疑的定时任务,直接删除,或者停止crond进程。

还有

还要注意/etc/、/var/spool/cron、/etc/cron.daily/、/etc/cron./、/etc/cron./、/etc等文件夹或文件的内容/ .

4、清除启动项

为了实现长期驻留,部分挖矿进程会在系统中添加启动项,以保证系统重启后可以重启挖矿进程。因此,在清除时,还应注意启动项的内容。如果有可疑的启动项,也应在确认是挖矿过程后排查清除。

故障排除过程中应注意的要点:

/etc/rc0.d/, /etc/rc1.d/, /etc/rc2.d/, /etc/rc3.d/ , /etc/rc4.d/, /etc/rc5.d/, /etc/rc6.d/, /etc/rc.d/, /etc/rc.本地/etc/等目录或文件的内容。

5、清除公钥文件

将文件放在用户家目录的.ssh目录下,无需密码即可登录机器,也是维护服务器控制的常用方法。在排查过程中,应检查文件中是否存在可疑公钥信息,如有可疑公钥信息直接删除,防止攻击者再次无密码登录主机。

[]/.ssh/

6、杀死挖矿进程

对于单进程挖矿程序,只需结束挖矿进程即可。但是对于大部分挖矿进程来说云服务器挖矿,如果挖矿进程有守护进程,则应该先杀掉守护进程,再杀掉挖矿进程,避免不完全清除。

kill -9 pid 或 pkill ddg.3014

在实际的清除工作中,要找到本机运行的挖矿脚本,根据脚本的执行过程确定木马的驻留模式,进行清除,以便避免不完全删除。

必须避免浏览器挖矿

首先要做的是识别吞噬资源的进程。通常使用 or MacOs 就足以确定罪魁祸首。但是,该进程也可能与合法文件同名,如下图所示。

云尊联盟 挖矿_云服务器挖矿_玩客云挖矿技巧

如果进程是浏览器,则更难找到罪魁祸首。

云尊联盟 挖矿_玩客云挖矿技巧_云服务器挖矿

当然,可以粗略地终止进程,但最好找出浏览器中的哪个站点占用了如此多的 CPU 性能。例如,有一个内置的工具叫做任务管理器,通过点击主菜单中的“更多工具”并选择“任务管理器”来启动它。

玩客云挖矿技巧_云服务器挖矿_云尊联盟 挖矿

此任务管理器显示各个浏览器选项卡和扩展程序的 CPU 使用率,因此如果您的某个扩展程序包含矿工,它也会显示在列表中。

云尊联盟 挖矿_云服务器挖矿_玩客云挖矿技巧

写在最后

2017年是挖矿木马爆发的一年,而2018年是挖矿木马从隐秘角落走向大众视野的一年,2019年可能是木马疯狂的一年。防止挖矿木马的兴起是安全人员的一项重要职责,防止挖矿木马的入侵是每个服务器管理员和PC用户需要注意的重点。防御挖矿木马任重道远!

相关文章

挖矿app 摄像头挖矿很火爆,六款摄像头挖矿APP助你涉足区块链

挖矿app 摄像头挖矿很火爆,六款摄像头挖矿APP助你涉足区块链

挖矿app 摄像头挖矿很火爆,六款摄像头挖矿APP助你涉足区块链 区块链从2017年开始就因为比特币大爆发而火了起来,2018年应该是商用元年。美国严禁数字货币交易,严禁ICO。这些用户在很长一段时间内都无法访问区块链技术。然而,公信宝开始流行以来,出现了一批以摄像头挖矿为主的硬件。简而言之挖矿app,它会消耗一些视频内存。现在价格低了,以后可能值几万! 最新相机挖矿区块链ONE上线,下载lin...

挖矿挣钱app 买矿机就不能赚钱吗?

挖矿挣钱app 买矿机就不能赚钱吗? 鉴于近期币价暴涨挖矿挣钱app,很多人都关注这个答案,私下询问。在这里我要强调一下,原答案中提到的低风险高回报是我几个月前入市时的判断。以这种方式。 不同的认知导致不同的进入时机,这与风险/回报密切相关。如果你在去年 3 月以太坊价格达到两位数的时候选择买一台新的矿机买币,你就是神;如果选择去年6、7月份入市,嗅觉好;如果你和我一样大 一个月前入驻,也有不错的...

靠谱的云算力平台 如何选择靠谱的算力(云算力)公司?

靠谱的云算力平台 如何选择靠谱的算力(云算力)公司?

靠谱的云算力平台 如何选择靠谱的算力(云算力)公司? 相信很多投资者都听说过一些卖云算力的公司,在选择云算力的时候就跑路了。这其实是一些皮包公司打着云算力的旗号搞的一个骗局。所以,在购买云算力之前靠谱的云算力平台,一定要先考察公司靠谱的云算力平台靠谱的云算力平台,先考察公司,再考察公司。这个必须说三遍! 首先要看公司的综合实力,比如营业执照的注册信息。因为FIL项目是一个大投资,机器的成本会上亿,...

一文告诉你虚拟货币挖矿原理是什么?(虚拟货币挖矿的原理)

一文告诉你虚拟货币挖矿原理是什么?(虚拟货币挖矿的原理)

一文告诉你虚拟货币挖矿原理是什么? 哈喽挖矿原理,小伙伴们,币圈学习关于区块链已经说了不少,但是区块链的核心—挖矿,想必大家还是一知半解,今天就从不同方面给大家好好讲讲虚拟币挖矿到底是什么? 虚拟货币赚钱的方式有很多的种其中一种就是挖矿。但是很多的人其实都不懂什么叫做挖矿,对于这个的概念也不清楚熟悉。 挖矿就是在区块链的世界当中其实在大概每平均10分钟,就可以产生一个区块。所以很多的计算机就...

区块链挖矿app开发 哪款手机区块链挖矿靠谱,可以提币区块链软件

区块链挖矿app开发 哪款手机区块链挖矿靠谱,可以提币区块链软件

区块链挖矿app开发 哪款手机区块链挖矿靠谱,可以提币区块链软件 手机挖矿应该会成为现在流行的一种赚钱方式,那么哪个手机挖矿app比较好呢?哪个应用程序更可靠?有哪些移动挖矿应用程序?我们一起看看! 什么是移动挖矿 事实上,手机挖矿的本质还是基于区块链技术,利用个人生活中产生的信息进行交易,产生的奖励就是数字货币。大部分信息是通过各种云生成的,因此无需经常使用手机即可完成挖掘。 有那些挖矿应用...

连锁挖矿 区块链挖矿新手榜

连锁挖矿 区块链挖矿新手榜

连锁挖矿 区块链挖矿新手榜 交易知识就在——ALPHA ZONE-HOME,由自营交易室的机构交易员领衔,理论与实践相结合,助力实现金融知识! 最近,随着增速的暴涨,不仅越来越多的圈外朋友想要参与进来连锁挖矿,就连炒币的老玩家也在思考要不要买一些挖掘机来挖矿。 fil币的价格现在已经从20美元涨到了80美元,最高的是98美元。500元买一个。建议部分新用户投资数字货币现货,部分参与数字货币挖矿。一...

云服务器 算力 超融合上半年盘点:稳居前三,专注发展!

云服务器 算力 超融合上半年盘点:稳居前三,专注发展! 算力从未如此重要。 在数字经济时代,算力与电力、水力一样,已成为金融、运营商、互联网、交通、能源等各个行业的重要生产力。相关研究表明,算力产业每投资1元,将带动经济产出3-4元,算力规模平均每增加1%,可带动数字经济增长0.@ ˃4% 和 GDP 增长0. @˃2%。 那么云服务器 算力,哪些公司构建了如此重要的计算能力? 6月30日,国际数...

以太币挖矿教程-个人电脑怎么挖以太坊?以太坊电脑挖矿详细图解教程

以太币挖矿教程-个人电脑怎么挖以太坊?以太坊电脑挖矿详细图解教程

以太币挖矿教程-个人电脑怎么挖以太坊?以太坊电脑挖矿详细图解教程 这篇文章主要介绍了个人电脑怎么挖以太坊?以太坊电脑挖矿详细图解教程,以太坊在币圈是仅次比特币的数字货币,以太坊的获取方式除了直接市面上购买之外,就是挖矿获得,下面跟随小编一起来深入的了解一下个人电脑怎么挖以太坊的吧。 以太坊电脑挖矿教程 1、登录币安官网()没有账号的可先注册,然后下载币安官方APP,然后登录,如图,账户类型选择.,...

btt币怎么挖矿 一张图看懂如何将BTTOLD转为BTT

btt币怎么挖矿 一张图看懂如何将BTTOLD转为BTT

btt币怎么挖矿 一张图看懂如何将BTTOLD转为BTT Chain主网将于12月12日上线,同时BTT拆分计划也在进行中。在保持 BTT 代币总产值不变的基础上btt币怎么挖矿,发行总量由 990,000,000,000 调整为 990,000,000,000,000btt币怎么挖矿,拆分比例为 1:1000。拆分后的新代币为 BTTbtt币怎么挖矿,旧的 BTT 代币重命名。 一张图片了解如何...

波场币怎么挖矿 社区生态 | 波场余额宝SUN社区公告关于增持TRX质押和挖矿太阳币SUN

波场币怎么挖矿 社区生态 | 波场余额宝SUN社区公告关于增持TRX质押和挖矿太阳币SUN

波场币怎么挖矿 社区生态 | 波场余额宝SUN社区公告关于增持TRX质押和挖矿太阳币SUN 关于增持和维护质押矿池的公告 应社区的强烈要求,2020/9/1623:00(台湾时间)之后, SUN挖矿开放后,除了LP流动性挖矿波场币怎么挖矿,继续维持TRX质押挖矿14天波场币怎么挖矿波场币怎么挖矿,社区将继续减少热量。波场币怎么挖矿,所有TRX创世质押用户无需提现。按照官方指定的暖心迁移步骤,可在...

hpc算力云科技 思创科技云原生自主CAE硬件参加2021云栖大会

hpc算力云科技 思创科技云原生自主CAE硬件参加2021云栖大会

hpc算力云科技 思创科技云原生自主CAE硬件参加2021云栖大会 摘要:优派科技创始人郭志鹏:“云原生CAE不仅仅是在云端部署CAE,伟创力+HPC的核心求解器可以将CAE估计率提升10倍以上hpc算力云科技hpc算力云科技, 10倍速度改变的不仅仅是效率,更重要的是改变了客户的使用习惯和行业生态。” “前沿·探索·想象”hpc算力云科技hpc算力云科技,2021云栖大会于10月19日在上海盛...

云算力平台 矿机、矿池、矿场、云算力之间是什么关系?它们是如何连接或连接的?

云算力平台 矿机、矿池、矿场、云算力之间是什么关系?它们是如何连接或连接的?

云算力平台 矿机、矿池、矿场、云算力之间是什么关系?它们是如何连接或连接的? 大家好,我叫Hyrik()先生,谢谢邀请。 废话少说先上图: 先解释一下定义,然后说说它们的关系。 矿机:其实和我们常见的电脑设备差不多,但是会烧显卡,需要放在通风好,电价便宜的地方云算力平台,因为挖矿通常比较耗电。不同的矿机有不同的算法。下图为矿机开发过程。 矿场:由于有些人尝到了挖矿的甜头,比如大规模挖矿云...