加入收藏 | 设为首页 | 会员中心 | 我要投稿 源码网 (https://www.900php.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 站长资讯 > 传媒 > 正文

关于挖矿,你需要知道的一切

发布时间:2019-05-23 12:22:57 所属栏目:传媒 来源:IT168
导读:副标题#e# 加密货币劫持(俗称恶意挖矿)是一种新兴的在线威胁,它隐藏在服务器或PC等设备上,并利用设备资源来挖掘加密货币。挖矿威胁尽管相对较新,但它已经成为最常见的网络威胁之一,很有可能成为网络世界下一个主要的安全威胁。 与网络世界中大多数其它
副标题[/!--empirenews.page--]

加密货币劫持(俗称恶意挖矿)是一种新兴的在线威胁,它隐藏在服务器或PC等设备上,并利用设备资源来“挖掘”加密货币。挖矿威胁尽管相对较新,但它已经成为最常见的网络威胁之一,很有可能成为网络世界下一个主要的安全威胁。

与网络世界中大多数其它恶意攻击一样,挖矿最终动机也是因为有利可图。在了解挖矿的机制以及如何保护自己免受挖矿的荼毒之前,需要先了解一些背景。

什么是加密货币

加密货币是一种数字货币的形式,仅存在于网络世界中,没有实际的物理形式。它们以分散的货币单位形式存在,可在网络参与者之间自由转移。

与传统货币不同,加密货币不受特定政府或银行的支持,没有政府监管或加密货币的中央监管机构。加密货币的分散性和匿名性意味着并没有监管机构决定有多少货币将会流入市场。

大多数加密货币,正是通过“挖矿”方式开始进入流通。挖矿实质上是将计算资源转变为加密货币。起初,任何拥有计算机的人都可以挖掘加密货币,但它很快就变成了军备竞赛。如今,大多数挖矿者使用功能强大的专用计算机来全天候地挖掘加密货币。不久,人们开始寻找挖掘加密货币的新方法,挖矿木马应运而生。黑客不用购买昂贵的采矿计算机,仅需要感染常规计算机,就可以窃取他人的资源来牟取自身利益。

什么是“挖矿”行为

“挖矿”是一种使用他人设备,并在他人不知晓、未允许的情况下,秘密地在受害者的设备上挖掘加密货币的行为。黑客使用“挖矿”手段从受害者的设备中窃取计算资源,以获得复杂加密运算的能力。

以比特币挖矿为例,每隔一个时间点,比特币系统会在节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。根据比特币发行的奖励机制,每促成一个区块的生成,该节点便获得相应奖励。这个寻找代码获得奖励的过程就是挖矿。但是要计算出符合条件的随机代码,需要进行上万亿次的哈希运算,于是部分黑客就会通过入侵服务器等方式让别人的计算机帮助自己挖矿。

挖矿攻击的危害十分严重,这是因为挖矿利用了计算机的中央处理器(CPU)和图形处理器(GPU),让它们在极高的负载下运行。这就如同在开车爬坡时猛踩油门或者开启空调,会降低计算机所有其他进程的运行速度,缩短系统的使用寿命,最终使计算机崩溃。当然,“挖矿者”有多种方法来“奴役”控制你的设备。

第一种方法:就像恶意软件一样,一旦点击恶意链接,它会将加密代码直接加载到您的计算机设备上。一旦计算机被感染,挖矿者就会开始挖掘加密货币,同时保持隐藏在后台。因为它感染并驻留在计算机上,所以它是本地的一种持续的威胁。

第二种方法:被称为基于Web的加密攻击。与恶意广告攻击类似,比如通过将一段JavaScript代码嵌入到网页中。之后,它会在访问该页面的用户计算机上执行挖矿,该过程不需要请求权限并且在用户离开初始Web站点后仍可长时间保持运行。那些用户认为可见的浏览器窗口已关闭,但隐藏的浏览器窗口仍然打开。

如何发现、清除“挖矿”木马

当出现下述这些情况的时候,说明你的设备很有可能是遭到恶意挖矿了。

1. CPU使用率居高不下;

2. 响应速度异常缓慢;

3. 设备过热,冷却风扇长期高速运转;

这时,需要确定是设备本身(以服务器为主)感染了挖矿木马,还是浏览器挖矿。

服务器挖矿知多少?

目前服务器挖矿使用最多的入侵方式为SSH弱口令、Redis未授权访问,其他常见的入侵方式如下:

(1)未授权访问或者弱口令。包括但不限于:Docker API未授权访问,Hadoop Yarn 未授权访问,NFS未授权访问,Rsync弱口令,PostgreSQL弱口令,Tomcat弱口令,Telnet弱口令,Windows远程桌面弱口令。

(2)新爆发的高危漏洞。每次爆出新的高危漏洞,尤其命令执行类漏洞,那些长期致力于挖矿获利的黑客或挖矿家族都会及时更新挖矿payload。因此,在新漏洞爆发后,黑客会紧跟一波大规模的全网扫描利用和挖矿行动。

例如2018年爆发的WebLogic反序列化漏洞,Struts命令执行漏洞,甚至12月爆出的ThinkPHP5远程命令执行漏洞已经被buleherowak挖矿家族作为攻击荷载,进行挖矿。

一旦发现服务器存在挖矿迹象,又应该如何操作呢?需要尽快确认挖矿进程、挖矿进程所属用户、查看用户进程、清除挖矿木马等。

确定挖矿进程

可以使用top命令直接筛选出占用CPU过高的可疑进程,来确定挖矿进程。比如部分挖矿进程的名字由不规则数字和字母组成,可直接看出(如ddg的qW3xT.4或zigw等)。

关于挖矿,你需要知道的一切

当然,挖矿进程也有可能被修改为常见名称来干扰运维人员。但是这种伪装方法比较简单(比如利用XHide修改进程名或直接修改可执行文件名),所以排查过程中也要关注所有占用CPU较高的可疑进程。

关于挖矿,你需要知道的一切

如果看到了可疑进程,可以使用lsof -p pid 查看进程打开的文件,或查看/proc/pid/exe 指向的文件。

关于挖矿,你需要知道的一切

Isof

关于挖矿,你需要知道的一切

proc

从上图可以看到,python进程所指向的文件明显为异常文件,此时就需要重点排查该文件。

此外,如果挖矿木马有隐藏进程的功能,那么很难直接从top中确定可疑进程名。这时,可从以下几方面进行排查:

1、是否替换了系统命令

使用 rpm -Va 查看系统命令是否被替换,如果系统命令已经被替换,可直接从纯净系统拷贝ps,top等命令到受感染主机上使用。

关于挖矿,你需要知道的一切

可以看到,系统的ps、netstat、lsof 三个命令均被替换。

(编辑:源码网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

热点阅读