本文简析通过蜜罐获取的XMR恶意挖矿事件:攻击者通过爆破SSH获取系统权限,配置root用户免密登录,并下载及执行XMR 挖矿程序,及XMR 网页挖矿程序。...XMR挖矿程序耗肉鸡CPU/GPU资源,网页挖矿程序耗访问肉鸡服务器JS 网页的客户端资源 。 ?...1)挖矿配置文件com.json 通过配置文件查看到XMR数字货币的挖矿算法、挖矿地址和钱包地址等: { #XMR门罗币的主要共识机制(挖矿算法):cryptonight "algo": "cryptonight...五、小结 攻击者通过SSH暴力破解获取系统账号后,一方面通过下载及运行ELF二进制挖矿程序,利用系统CPU/GPU资源进行XMR(门罗币)挖矿;另一方面,通过在系统里面的JS文件中插入JS网页挖矿的代码...,利用远程访问系统JS网页的客户端资源进行XMR网页挖矿。
近期观测到,Linux下DDG变种挖矿病毒又在全国范围内大规模爆发,该样本通过SSH爆破进行攻击,执行恶意程序,下 载伪装成图片的门罗币挖矿木马,设置为开机启动并在后台运行,木马在入侵计算机之后,以该计算机本地密钥登录...解密后得到shell脚本,该脚本的功能是下载1414297571.jpg样本,并将该图片样本重命名为mysqli.tar.gz,解压挖矿程序和程序的配置脚本,执行in脚本开始挖矿。 ?...还包含了killsusproc()函数,清理自身挖矿进程 ,并杀掉CPU大于30%的进程。 ? 该病毒通过识别内核版本,执行对应版本的病毒。 ? 判断挖矿程序的配置是否存在。 ?...true, "tls": false, "tls-fingerprint": null }, { "url":"xmr-eu1...密码:x 通过挖矿钱包地址发现Pool: nanopoolPaid: 0 XMR,目前挖的门罗币为0。
这两天使用的公网服务器被入侵了,而且感染了不止一种病毒:一种是 libudev.so,是 DDoS 的客户端,现象就是不停的向外网发包,也就是超目标发起 DDoS 攻击;另外一种是挖矿程序,除了发包之外...XMR 挖矿程序 2.1 病毒特征 第二种病毒是门罗币(XMR)挖矿程序,门罗币似乎是今年年初涨得很快,所以用病毒入侵挖矿的手法也就出现了,病毒主要是通过下载脚本,运行后下载并启动挖矿程序来工作,脚本的内容如下...,关于脚本的代码分析见于:XMR恶意挖矿案例简析,里面讲的非常详细。...参考资料 XMR恶意挖矿案例简析 金山云安珀实验室千里追踪75万台“肉鸡”控制源 记一次排除十字符libudev.so病毒的过程 FreeBuf
xmr-stak的github地址:https://github.com/fireice-uk/xmr-stak xmr-stak-cpu的github地址:https://github.com/fireice-uk.../xmr-stak-cpu 注意:xmr-stak和xmr-stak-cpu是两个不同的项目,xmr-stak-cpu只支持cpu并且官方不再更新了,建议使用xmr-stak 1 安装相关的依赖 sudo...3 修改捐赠作者的比例 进入xmr-stak/xmrstak目录下 编辑donate-level.h 编辑xmr-stak下的donate-level.h文件,把 constexpr double...这时,在xmr-stak-cpu/bin 文件夹下执行./xmr-stak-cpu 已经可以开始计算 ./xmr-stak-cpu 后台运行 一切就位,让程序后台运行 nohup ..../xmr-stak.git; cd xmr-stak; mkdir build; cd build; cmake ..; #或者 cmake ..
咦, 怎么是官方文档? 本期精读有所不同, 注重实操, 先操作获取感性认识, 然后再介绍相关的概念, 由浅入深, 力求不纠缠细节, 但不遮盖环节....0.008775 USD, 快到一分钱了 :) 怎么样, 有没有一种浏览器点开即玩一刀999级的感觉....那么为什么可以在浏览器里挖矿? 为什么可以很多用户在多个终端浏览器同时为同一个人 (你) 挖矿? 我们知道, 挖矿是对加密货币产生机制的俗称....要看具体算法, 没有问题. bitcoin在这里, XMR则看CryptoNote Standard 008 读完两个算法我们就有了以上疑问的答案: 2.1.1 为什么要算XMR而不是比特币或者其他 XMR...矿池是一个加密货币建立之初, 完全推崇去中心化时没有预料到的结构, 也产生了深远的影响.
并且程序拥有着守护挖矿进程的能力,当把挖矿进程直接杀掉,母体会重新下载挖矿病毒并运行,所以这里是导致出现病毒文件再次出现,但是并没有运行的原因。 ? ?...0x03 挖矿程序 同样也被各大引擎识别了,这个是门罗币(XMR)挖矿,XMR由于匿名性被黑产热爱。 ? strace看一下程序的运行流程,连接矿池,发送任务,接受任务结果 ?...首先通过gulf.moneroocean.stream这个地址登录矿工的信息,钱包等,然后连接矿池xmr.crypto-pool.fr(139.99.100.250)进行挖矿 ? ?...上次的重启重新下载了出现病毒文件初步估计是没有清理干净,清理顺序的问题。...挖矿信息: 矿工信息验证地址:gulf.moneroocean.stream 矿池地址:xmr.crypto-pool.fr 钱包地址:489nAwmiY4s8X95kvPDVvUaHsqmrs1NwsVKoBbqKftYzDAQJVUryJwJ7WMKansCeowe4vxg42p9VtbDKTPxkKp1pUXTnA5X
b) 怎么能够把一个.bat文件注册为服务进程呢? c) 安装系统服务是必须具备超级用户权限的,入侵者是通过何种手段进入的,又是如何躲避UAC的?...2、命令解析 从run64.bat内容我们可以估计Update64.exe就是一个挖矿程序,其挖掘的是XMR虚拟货币,矿池是xmr.pool.minergate.com:45560,挖矿帐号是:cooldayright...根据网站主页显示,目前支持BTC、XMR、以太坊等16种主流的虚拟货币,具体支持的货币如下图所示: ? 在网站上可以直观查看挖矿收益,而且支持的系统很多,目前已经支持安卓手机,适合各种人群。...第二、根据minergate网站提示,其用于xmr挖矿的端口已经修改为45700,而本样本依然连接的是45560端口,或许攻击者还会采取下一步动作? ?...由于minergate网站没有提供直接挖矿收益查询功能,注册用户只能查看其自身收益情况,因此无法得知攻击者cooldayright@outlook.com收益情况。 四、总结与疑问 1、卸载服务。
2018年10月18日,门罗币(Monero)再次进行了硬分叉,如果你正在用显卡进行XMR挖矿,请注意更新软件版本和相关参数。...早在2018年4月,比特大陆推出了门罗币的ASIC矿机之后,门罗团队开始了抵制比特大陆的战斗,当时分叉出来了四种币,现在能够在coinmarketcap上可查的主要是三种:Monero(XMR)、Monero...2018年4月6日,门罗币在高度1546200成功分叉,使得所有ASIC矿机差点成为废铁,只能去挖其他的分叉币,XMR的全网算力从1000M降到400M。 ?...从那一天开始门罗团队声称每6个月会更新一次算法,与比特大陆血战到底,果然,事隔半年,这次挖矿算法更新为CryptoNight variant 2(V8),分叉高度为:1685555,此次更新改动了约500...门罗社区的一些主要挖矿软件都及时推出了更新版本,比如xmrig、xmr-stak和HashFish。 如果你使用xmr-stak软件,请到下面网站下载最新软件。
所幸该木马并没有感染传播的蠕虫属性,猜测是攻击者直接通过一般漏洞来进行的无差别攻击植入的挖矿downloader。.../xmr-stak-cpu,是一个通用的挖矿项目,支持CPU,AMD与NVIDIA GPU,用于挖“门罗币”。...可确定其是基于开源代码xmr-stak 2.4.2编写的一个针对门罗币的挖矿木马。 bashd代码分析 该木马用于针对“门罗币”挖矿的组件,x64架构的ELF格式文件。...通过代码相似性分析可确定该程序是基于xmrig 2.5.2开源项目开发的一个基于CPU的针对Monero(XMR)的挖矿木马。 ?...该项目在:https://github.com/xmrig/xmrig 0x03 总结 该挖矿木马并没有使用很多高级的防查杀技术,也没有广泛传播的蠕虫属性,仅仅使用定时任务来实现简单的进程保护,通过无差别攻击进行
XMR(门罗币)是目前比特币等电子货币的一种,以其匿名性,支持CPU挖矿,以及不菲的价格等特点,得到了“黑产”的青睐。瀚思科技挖掘出黑产利用互联网服务器进行挖矿的通用模式,以及多个挖矿后台更新服务器。...挖矿黑客之间的竞争愈发激烈 对比之前发现的同类型挖矿木马,本次发现的挖矿木马在代码上已经有了进一步的提升,之前发现的挖矿脚本,主要杀掉具体进程名,目前主要根据矿池信息杀掉挖矿进程,扩大了有效范围。...下图是两种类型挖矿木马杀掉其他木马的方式比较: ? 黑客的获利估计 从目前的样本获取的钱包地址来看,之前的挖矿币池已经向攻击者的钱包提交了34个XMR(约合8500美元,以当天价格$250计算)。...但由于被矿池判定为僵尸网络非法挖矿,该钱包剩余的7个XMR已被冻结: ?...从目前掌握的情报,综合溯源到的10多台服务器访问信息、钱包地址,该攻击者目前至少已经控制了3万多台主机,获取了约300多个门罗币,以目前的XMR(门罗币)价格已近10万美元。
删除恶意定时任务 常见定时任务文件位置 cd /var/spool/cron/ 位置2 cd /etc/cron.d 挖矿恶意程序 挖矿程序 ps aux | grep minerd 查找位置 ps -...ef|grep minerd 查找 find / -name minerd cd /var/tmp/ 查看所有的服务 chkconfig --list 关闭访问挖矿服务器的访问 iptables -A...INPUT -s xmr.crypto-pool.fr -j DROP iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP 删除进程 pkill minerd
比特币最近又开始了牛气哄哄的上涨势头,对于想要挖矿赚钱的人来说是一个大好时机 目前挖矿对于普通人来说还是存在一定门槛的,别的不说,关于钱包地址的设置,挖矿软件的调试等等,网上搜索出来的挖矿软件教程分分钟都能让你放弃...那么问题来了,简单好用的挖矿软件有哪些呢? 我尝试过10多个挖矿软件,长沙矿工这些老挖矿软件就不说了适合矿场老板,不过抽水太多,现在貌似矿场老板也不怎么用了。...关于币种 目前适合电脑挖的币种有很多,比如XMR、ETH和Zec等等,哈鱼矿工根据电脑配置的收益来自动推荐选择收益高的币种,是不是很智能?...这样你也不用操心自己的电脑挖什么币种才最合适 关于提现 挖矿最终目的是提现,现在市面上很多挖矿软件存在着抽水,当然这也成为了矿工的共识,就看软件抽水多少,一般都在10%左右 ,而哈鱼矿工没有抽水!...没有抽水!!或许很多人不相信,但哈鱼矿工属于项目推广期,利用不抽水来吸引用户也属正常,并且,哈鱼矿工是日结算,每天都能提现结算到支付宝,抽水不抽水,比较下就知道了 。
云鼎实验室通过对矿池地址进行统计和归类,发现云上入侵挖矿币种主要是门罗币(XMR)、氪石币(XCN)和以利币(ETN)。...而门罗币和以利币等第二代虚拟货币采用了 CryptoNight 算法,此种算法特别针对 CPU 架构进行优化,运算过程中需要大量的暂存器,不再依赖于 GPU 挖矿,且也没有对应的 ASIC,于是黑客在入侵云主机之后更多会选择消耗机器...在过去的一年中,即使门罗币价格一路下行,也挡不住黑客的热情,进一步对挖矿行为趋势的统计发现,公有云上门罗币挖矿的行为数量不仅没有下降,反而还在下半年持续攀升。.../s提供了门罗币13.6%的算力; xmr.pool.minergate.com 的算力也达到26.50MH/s;这些均是云上黑客入侵挖矿使用的主要矿池,意味着云上存在漏洞而被入侵挖矿的机器就是其中的矿工...下图为云鼎实验室对 xmr.pool.minergate.com 影响机器数量在一定时间内进行的分布统计。 ?
说起木马挖矿,那些利用永恒之蓝和其他漏洞挖矿的方式,对于我说的这种显得就不那么暴利了。以一种合理合法的方式运行的他人电脑上,并且不告诉用户,光天化日之下夺走别人到劳动果实才是最大杀器。...1.当然抓贼抓脏,没有证据岂能定论。首先说一个,中国矿工用的最多的软件,叫做长沙矿工,在长沙矿工官网并无任何,收取费用的说明,天下可没有免费的午餐,这才是真正的明抢。 ? ?...挖矿软件都要对接到矿池上面,使用的是stratum 协议,通过抓包可已看到在开启ETH挖矿后15分钟出现另外一个挖矿地址没错了这个地址就是长沙矿工偷偷在挖矿的地址,这里我只贴出国内比较大的某池的算力情况...此款挖矿软件主要挖矿的目标是 zec (零币) eth /etc (以太) xmr(门罗)zec的我也找了一下地址大家可以看一下。 ? 在不告知用户的情况下,获取他人的利益,是违法且不道德的行为。...请所有开发挖矿gui 软件作者们注意了。如果你已经使用了这种软件,怎么解决。 解决方法: 1.不使用 此款挖矿软件。
关于Dr.Mine Dr.Mine是一款功能强大的Node脚本,该脚本旨在帮助广大研究人员以自动化的形式检测浏览器内的挖矿(加密)劫持行为。检测浏览器中发生的事情,最准确方法是通过浏览器本身。...因此,Dr.Mine使用了puppeteer来自动化捕捉浏览器发送的任何在线加密货币挖矿请求。 当检测到任何与在线加密货币挖矿相关的请求时,该工具都会标记相应的URL和正在使用的加密货币挖矿工具。...其中,加密货币挖矿工具列表是从CoinBlockerLists获取的,结果也会保存到文件中以供研究人员后续使用。 ...地址或一个文件作为输入参数,文件中则需要包含有效的URL地址,使用样例如下: node drmine.js list.txt 其中的list.txt内容样例如下: http://cm2.pw http://cm2.pw/xmr.../ https://example.com/ 如果需要直接通过命令行解析目标URL地址的话,可以使用下列命令: node drmine.js http://cm2.pw/xmr/ 工具运行截图
比如常见的XMR(门罗币)挖矿程序xmrig4、xmr-stak5则会将上述的协议进行修改。门罗币简化了上述流程,通过login方法来进行认证和订阅。...而XMR挖矿流量简化了上述过程,数据包大概分成了两类,一类是登录包,一类是提交包。这两种包也有明显的特点: (1)首先是有jsonrpc的版本标识,这个是必须要有的。...随着对抗的深入和区块链技术的升级,挖矿采取更加隐蔽的CPU/GPU占用,防止被用户发现,同时出现了一类以占用硬盘空间和网络带宽来进行挖矿的虚拟货币,CPU并没有表现出极高的使用率,反而是硬盘被占用了极大的空间...虽然经过多年的演进,挖矿木马攻击主机的手法越来越多样化和精细化,但从攻击流程来说并没有大的变化,总体上分为三个阶段: (1)攻击者利用主机或者服务漏洞获取上传挖矿木马的必要权限。...在第一阶段,攻击者利用已知漏洞对主机进行自动化攻击,攻击成功后,接着通过命令执行等方式下载执行挖矿木马,同时会检查系统有没有其他挖矿进程运行,如果有就结束掉,确保自己独占挖矿资源。
如果想表达“没有”,就只能用对应数据类型的默认值,比如,字符串的默认值是"",整数是0,布尔类型是false。在团队里展开了一个讨论——程序里要不要表达“没有”,和怎么表达“没有”。...这段解释了最早null引用是怎么来的,以及这个东西对随后几十年软件工业带来的无数闹心的问题。 静态类型语言强调“尽可能的在编译期找到程序的错误”,而null这个奇葩的存在无疑是与这个目标对着干。...另外一个更严重一些的问题是,也许从语言的角度会觉得用一个有类型的”没有“替代null形式的“没有”感觉更优雅,但实际上从上层开发的角度,并没有什么明显的区别。...助推”,让开发者能主动写好对“没有”的检查。...使用其他语言的该怎么办 Java目前看最好的方案就是半吊子的Optional了。
因为在感染linux主机后它会利用主机资源进行挖矿。 卡巴斯基的研究人员则搭建了蜜罐观察网络环境中的SambaCry攻击情况。...研究人员发现,一伙黑客在漏洞公布后的一周就开始攻击Linux电脑,利用Samba漏洞入侵主机后,攻击者会通过上传恶意的链接库文件,实现远程代码执行,攻击者会安装“升级版”CPUminer,这是一款挖矿软件...“通过系统中的反弹shell,黑客可以更改挖矿软件的配置,或者安装其他的恶意软件。”...事实上除了钱包地址,数字货币池的地址(xmr.crypto-pool.fr:3333)也写在了软件中,这个货币池就是给开源货币monero使用的。...第一天他们共获得1 XMR(约400人民币),上个礼拜他们每天获得5 XMR(约1625人民币)。随着攻陷的主机越来越多,黑客能够赚的钱也越来越多。
虽然Dapr也提供针对Hashicorp Consul的支持,但是目前貌似没有稳定的版本支持。...从dapr提供的代码来看,它目前注册了如下3种类型的NameResolution组件: mdns:利用mDNS(Multicast DNS)实现服务注册与发现,如果没有显式配置,默认使用的就是此类型。
问题现象:远程不上,从vnc登录发现远程端口没有监听 原因:可能是远程服务相关的配置出现了异常,异常一般会体现到注册表键值,可以跟正常系统的注册表进行对比 注册表路径: [HKEY_LOCAL_MACHINE
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
