🍬 博主介紹
- 👨?🎓 博主介紹:大家好,我是 _PowerShell ,很高興認識大家~
- ?主攻領域:【滲透領域】【資料通信】 【通訊安全】 【web安全】【面試分析】
- 🎉點贊?評論?收藏 == 養成習慣(一鍵三連)😋
- 🎉歡迎關注💗一起學習👍一起討論??一起進步📝文末有彩蛋
- 🙏作者水平有限,歡迎各位大佬指點,相互學習進步!
由于文章篇幅問題,本文主要講了服務器受到礦機威脅怎么處理的問題,日志被洗掉怎么處理的問題,其他問題后續都會有詳細介紹,歡迎關注和訂閱哦,
第一篇文章簡單從應急回應是安全崗位的必問知識點引入,從客戶描述中尋找可利用資訊幫助處理例外事件,重點介紹了什么是應急回應,應急回應基本流程,
第二篇文章從真實作業環境情況中,介紹了我們的分析方法及具體采用的一些分析技術、工具等內容,
第三篇文章從一些常見的面試問著手,對應急回應進行補充和細化,
同樣的,我們這一篇文章還是從面試題入手,去解決一些相關的問題,
最后,我想說的是:要把應急回應所有的知識點介紹到位幾乎是做不到的,這個需要在學習和作業中去積累,
原稿審核未通過,此文刪減部分內容,但對于作業和面時差不多也是夠用的,
目錄
面試官:
三、服務器受到礦機危害怎么處理?
1. 礦機介紹:
1. 什么是礦機?
2. 什么是位元幣挖礦機?
3. 礦機的種類有哪些?
4. 礦機的挖掘方法
5. 礦機有什么消耗和風險
6. 礦機的制造企業
2. 礦機病毒介紹
1. hAnt病毒
概述:
案例:
解決辦法:
2. AutoUpdate挖礦病毒
概述:
作業原理:
3. 如何有效檢測挖礦行為?
1. 針對辦公網或者生產網中存在的挖礦安全隱患
2. 對于無法識別潛在的挖礦外聯行為
4. 檢測到挖礦行為后,如何精準倍訓處置?
1. Linux系統挖礦病毒的處置
2. Windows系統挖礦病毒的處置
四、日志被洗掉怎么處理?
五、Sality病毒了解嗎,知道如何分析和查殺嗎?
六、飛客蠕蟲了解嗎,知道如何分析和查殺嗎?
七、Windows環境黑客入侵應急與排查?
八、你有應急工具箱嗎,都有哪些工具呢?
九、處理完第二天發現又有同樣的例外,你會怎么辦呢?
寫在最后:
相關連接:
面試官:
三、服務器受到礦機危害怎么處理?
1. 礦機介紹:
1. 什么是礦機?
礦機:說白了就是用于賺錢的電腦,挖礦嘛,可以對比一下生活中煤礦,礦就是錢,家里有錢我們現在也常說他家里有礦,哈哈哈哈,
但我們電腦來挖的礦是虛擬的,通常以位元幣的形式出現,
這類電腦一般有專業的挖礦晶元,大多采用燒顯卡的方式作業,耗電量較大,
用戶用個人電腦下載軟體然后運行特定演演算法,與遠方服務器通訊后可得到相應位元幣,是獲取位元幣的方式之一,
2. 什么是位元幣挖礦機?
位元幣挖礦機就是用于賺取位元幣的計算機,這類計算機一般有專業的挖礦芯片,多采用安裝大量顯卡的方式作業,耗電量較大,
計算機下載挖礦軟體然后運行特定演算法,與遠方服務器通訊后可得到相應位元幣,是獲取位元幣的方式之一,
3. 礦機的種類有哪些?
ASIC礦機
ASIC 礦機是指使用 ASIC 芯片作為核心運算零件的礦機,
ASIC 芯片是一種專門為某種特定用途設計的芯片,必須說明的是它并不只用于挖礦,還有更廣泛的應用領域,
這種芯片的特點是簡單而高效,例如位元幣采用 SHA256 演算法,那么位元幣 ASIC 礦機芯片就被設計為僅能計算 SHA256,所以就挖礦而言,ASIC 礦機芯片的性能超過當前頂級的電腦CPU,
因為ASIC礦機在算力上有絕對的優勢,所以電腦、顯卡礦機開始逐漸被淘汰,
GPU礦機
GPU 礦機,簡單的解釋就是通過顯卡(GPU)挖礦的數字貨幣挖礦機,在位元幣之后,陸續出現了一些其他數字資產,比如以太坊、達式幣、萊特幣等等,其中一些幣所用的演算法與位元幣并不相同,為了達到更高的挖礦效率,礦工們做了不同的測驗,最后發現 SHA256 演算法的數字貨幣使用 ASIC 挖礦效率最高,
而 Scrypt 等其他演算法的數字貨幣用 GPU 顯卡挖礦效率最高,于是催生出了專門的 GPU 礦機,
IPFS礦機
IPFS 類似于 HTTP,是一種檔案傳輸協議,
IPFS 要想運行,需要網路中有許許多多的計算機(存盤設備)作為節點,廣義的說所有參與的計算機,都可以稱作 IPFS 礦機,
而 IPFS 網路為了吸引更多的用戶加入成為節點,為網路做貢獻,設計了一種名叫 filecoin 的加密貨幣,根據貢獻存盤空間與帶寬的多少,派發給參與者(節點)作為獎勵,
狹義的說,專門以獲取 filecoin 獎勵為目的而設計的計算機,稱為 IPFS 礦機,由于 IPFS 網路需要的是存盤空間以及網路帶寬,所以為了獲得最高的收益比,IPFS礦機通常會強化存盤空間、降低整機功耗等方面,
比如裝備10塊以上大容量硬碟,配備千兆或更高速度的網卡,使用超低功耗的架構處理器等等,
FPGA礦機
FPGA 礦機,既使用 FPGA 芯片作為算力核心的礦機,
FPGA 礦機是早期礦機之一,首次出現在2011年末,在當時一度被看好,但活躍期并不長,后逐漸被ASIC礦機與GPU礦機取代,
FPGA(Field-Programmable Gate Array),中文名叫現場可編程門陣列,比較通俗的理解是,FPGA就是把一大堆邏輯器件(比如或門、與門、非門、選擇器)封裝在一個盒子里,盒子里的邏輯元件如何連接,全部由使用者(撰寫程式)來決定,
如果FPGA里面寫的是挖礦程式,那么造出來的就是 FPGA 礦機,而且由于 FPGA 靈活度高,所以不只是可以支持位元幣的 SHA256 演算法,也可以支持 GPU 礦機擅長的 Scrypt 演算法,
FPGA礦機活躍的時期,相比同時代的 CPU、GPU 礦機,FPGA 雖然算力性能不占優,但功耗要低很多,綜合功耗比很高 ,
4. 礦機的挖掘方法
挖礦其實也很簡單,但個人認為沒必要去挖,個人電腦用于挖礦,你的收益真的微乎其微,但挖著玩一玩還是可以的,
做礦工其實就是用自己的電腦生產,在早期的客戶端中還有挖礦這一選項,但已經取消了,
要挖掘也相當簡單,可以下載專用的運算工具,然后注冊各種合作網站,把注冊來的用戶名和密碼填入計算程式中,再點擊運算就正式開挖,
5. 礦機有什么消耗和風險
1. 電費問題
挖礦程式一旦啟動,你的顯卡就會處于滿載狀態,顯卡長時間滿載,功耗會相當高,電費開支不會低,
挖礦機越來越先進,但燒顯卡挖礦是最劃算的,
一些礦工表示,照顧機器比照顧人還累,有網友一臺挖礦機3個月就用1000多度電,為了挖掘,挖礦機散熱厲害,就算是剛洗完的衣服,放在屋里一會兒就干了,
這么高的電費,很有可能把挖賺的錢抵消,甚至變成倒貼,還不算這還不算電腦、服務器的損耗,還有人工費用,
2. 硬體支出
挖礦可以說是性能和裝備的競爭,一般來說,礦機是由非常多張顯卡組成的,雖然個人電腦也可以,但真的虧,
就是HD6770這樣的垃圾卡,組團之后的運算能力還是能夠超越大部分用戶的單張顯卡的,就好比一個成年人和10個小朋友拔河,你說誰會贏呢?
而且這還不是最可怕的,有些挖礦機是更多這樣的顯卡陣列組成的,數十乃至過百的顯卡一起來,就好比一個成年人和100個小朋友拔河,
再說了,雖然算力起來了,但你需要向另一個問題,顯卡本身也是要錢的,算上硬體價格等各種成本,挖礦存在相當大的支出,你還想挖礦嘛?
除了燒顯卡的機器,一些 ASIC(應用專用集成電路)專業挖礦機也在投入戰場,ASIC是專門為Hash運算設計的,性能雖然不一定能秒殺顯卡,但是也已經相當強勁,而且由于它們的功耗遠比顯卡低,因此更容易形成規模,電費開銷也更低,單張獨顯很難與這些挖礦機競爭,而這種機器價格會更加昂貴,
3. 貨幣安全
支取需要多達數百位的密鑰,而多數人會將這一長串的數字記錄于電腦上,如果電腦出現問題,如硬碟損壞等問題,就可能讓密鑰永久丟失,這也導致了的位元幣丟失,這就等于白干了,血虧,
粗略估計,丟失的可能達到160多萬個,
雖然標榜自己 "防通貨膨脹" (位元幣是08年經濟危機的產物),但是它卻容易受到持有大量的大莊家的控制,有貶值的風險,漲跌堪稱過山車,大家也可以上股市看一看,真的是驚濤駭浪,
6. 礦機的制造企業
美國蝴蝶實驗室:
這家公司以很低的價格出售礦機,但并不給出確定的發貨時間,
換句話說,購買者根本在付款之后,仍然無法確定是否能夠買到礦機,
但由于買到礦機后很容易回本、賺錢,所以還是有不少人希望自己成為幸運兒,大膽付款預定,
這樣的運作模式普遍不被看好,網上有很多不靠譜的廠商,只是偶爾出貨一兩臺礦機,很多人拿到礦機就類似中了彩票,
烤貓采礦公司:
但是烤貓公司只出售少量礦機,這家公司主要向購買者出售公司股份,然后把挖出來的按照持股進行股票分紅,同時股票可以自由轉讓,
Avalon(阿瓦隆)公司:
Avalon在出售了一批礦機之后,已經決定主要專注Avalon晶元的研發和生產,
2013年,中國國內開始有團隊組裝銷售基于Avalon晶元的挖礦機,
2. 礦機病毒介紹
早在2013年,就有黑客利用病毒,劫持他人電腦隱秘挖礦,但針對大型礦場礦機的攻擊,卻是再2018年左右才開始出現的,
在2018年8月到10月,問題開始集中爆發,
某些就是利用礦工病毒進行勒索,有些能在半夜,偷偷把一個礦場4000臺礦機的挖礦地址,改成黑客的挖礦地址......
挖礦行為不僅僅會導致組織的電腦卡頓、CPU飚滿、運維成本暴漲,一些挖礦的主機還可能會被植入病毒,導致組織重要資料泄露,或者黑客利用已經控制的機器,作為繼續對內網滲透或攻擊其他目標的跳板,導致更嚴重的網路安全攻擊事件等,
礦機病毒的種類很多很多,在這里我查閱了很多資料,列舉一些常見的礦機病毒,
1. hAnt病毒
概述:
hAnt 病毒早在 2018 年 8 月,就已經出現過,2019年一月才開始擴散,
由于大多數位元幣挖礦機都在中國,所以中國感染情況最為嚴重,大多數受感染的礦機都是用于位元幣采礦的 Antminer S9 和 T9 設備,不過報道稱用于獲得萊特幣 Antminer L3 礦機也出現了感染,此外還有少量 Avalon Miner (也用于采集位元幣)設備也出現了感染,不過數量少了很多,
hAnt病毒只要感染了一個采礦設備,病毒就會鎖定設備并阻止其采礦,
當用戶查看機器時,會出現一個螞蟻圖案,隨后螢屏會顯示一串文字,大意是受感染者幫忙感染所有或者支付贖金,否則病毒就會關閉采礦設備的風扇及過熱保護,導致設備遭到破壞,對此,專家表示 hAnt 病毒理論上是可能濫用 Antminer 韌體中的超頻功能來過熱和危害設備的,
其實早在 2018 年,Antminer 礦機公司就曾發布過安全警報,警告用戶不要安裝從其他網站下載的韌體,值得注意的是,當時礦機公司發出的這個警報不僅僅是對于 Antminer 設備,它包括了所有型別采礦設備,
案例:
2019年1月5日晚,cC礦場的位元大陸礦機管理界面,突然變成了一張綠色的圖片,圖片中間是只螞蟻,兩邊分別有一把礦工鎬,這個病毒就是 hAnt,很顯然,病毒的目標,是位元大陸的螞蟻礦機,
黑客用中英兩種語言留言告訴礦工,要免于被攻擊,只有兩個辦法:
1. 將病毒以韌體補丁的方式,傳染給其他礦場的至少1000臺機器;
2. 給黑客打10個位元幣,
如果不這樣就將關閉螞蟻礦機的風扇和過熱保護,“啥訓你的礦機甚至房子”,
解決辦法:
第一個解決辦法,是刷礦機的SD卡,即韌體,
說白了就是給礦機換一個新的操作軟體,這是解決問題最直接的方式,
缺點:一臺臺刷機,很花時間
第二個解決辦法,換掉礦機的位元組庫,甚至控制板,
如果刷SD卡無效,可以使用這個辦法
實在不行,就把礦機賣了
2. AutoUpdate挖礦病毒
概述:
2021年7月,深信服安全團隊已經成功捕獲到一款主流的挖礦病毒樣本,并對其作業原理進行了揭秘,詳細內容可點擊查看:《支持雙系統挖礦,警惕新型AutoUpdate挖礦病毒入侵》
作業原理:
1. 通過釣魚郵件、惡意站點、軟體捆綁下載等方式誘導用戶點擊其惡意腳本程式,
2. 在用戶點擊啟動惡意腳本loader.sh后,該腳本將清除安全軟體,下載啟動程(kworker),
3. Kworker 程式檢查并更新各功能組件,以及啟動挖礦程式 dbus、攻擊程式 autoUpdate、隱藏腳本 hideproc.sh、攻擊腳本 sshkey.sh,
4. autoUpdate程式掃描并攻擊所在網段的 Struts2、Shiro、Mssql、Postgres、Redis、Dubbo、Smb 和 SSH 等組件、服務或協議漏洞,以及國內用戶常用的泛微 OA 、致遠 OA、通達 OA、phpcms、discuz 等服務,并利用相關漏洞寫入計劃任務并執行,
5. 通過 hideproc.sh 腳本隱藏行程,防止被用戶發現,
6. 通過 sshkey.sh 腳本嘗試從 bash_history、etc/hosts、ssh/kownhost 及行程已有連接中提取該終端連接過的終端,如果可以成功連接則下載并啟動腳本 loader.sh,達到傳播目的,
7. 挖礦程式 dbus 在受害者的設備上悄悄運行以便挖掘加密貨幣,同時將中毒設備上連接到一個礦池,為欺詐者獲取未經授權的“免費”計算能力,欺詐者直接將"免費算力"掙來的加密貨幣放入自己的錢包,
3. 如何有效檢測挖礦行為?
防火墻結合AI+規則庫
1. 針對辦公網或者生產網中存在的挖礦安全隱患
例如:深信服下一代防火墻AF,通過AF本地具備的 130 萬僵尸網路特征庫,結合深信服云端威脅情報,以惡意URL和C&C IP地址對比的方式來監測失陷主機的非法外聯行為,
2. 對于無法識別潛在的挖礦外聯行為
例如:通過深信服下一代防火墻AF云端NTA檢測引擎,結合AI技術與規則的倍訓迭代技術,不僅能檢測出不可讀的隨機字符構成的域名,還能檢測出使用單詞拼接方式仿造正常域名的惡意域名,快速識別例外外聯流量,定位組織網路中的挖礦主機,
4. 檢測到挖礦行為后,如何精準倍訓處置?
終端檢測回應平臺+挖礦處置專項安全服務
例如:深信服終端檢測回應平臺EDR,一旦在用戶網路中發現挖礦病毒,深信服建議用戶在網路中部署終端檢測回應平臺EDR,通過結合深信服挖礦處置專項安全服務,以“工具+服務”的方式實作全網挖礦病毒處置作業,
挖礦病毒的處置主要包括Linux系統與Windows系統的處置:
1. Linux系統挖礦病毒的處置
通過定時任務/服務的清除、特定檔案的洗掉、檔案中特定內容的洗掉、目錄的洗掉、指定檔案的恢復、病毒行程檔案處置、病毒檔案洗掉等處置動作,徹底清除用戶網路中的挖礦病毒,
2. Windows系統挖礦病毒的處置
通過行程記憶體處置、自啟動目錄檔案洗掉、自啟動配件檔案的清除/修改,注冊表項的清除/修改,計劃任務洗掉、賬號洗掉、WMI自啟動洗掉、檔案的洗掉和恢復等處置動作,徹底清除用戶網路中的挖礦病毒,
四、日志被洗掉怎么處理?
五、Sality病毒了解嗎,知道如何分析和查殺嗎?
六、飛客蠕蟲了解嗎,知道如何分析和查殺嗎?
七、Windows環境黑客入侵應急與排查?
八、你有應急工具箱嗎,都有哪些工具呢?
九、處理完第二天發現又有同樣的例外,你會怎么辦呢?
相關連接:
系列文章:
[ 應急回應 ]服務器(電腦)受到攻擊該如何處理?(一)
[ 應急回應 ]服務器(電腦)受到攻擊該如何處理?(二)
[ 應急回應 ]服務器(電腦)受到攻擊該如何處理?(三)
參考鏈接:
(5條訊息) 每小時2000元!在病毒面前,礦機如裸奔一般“掉血”_區塊鏈大本營-CSDN博客
位元幣礦機出現勒索病毒 要么幫忙感染要么支付高額贖金 (baidu.com)
位元幣挖礦機_百度百科 (baidu.com)
虛擬貨幣_百度百科 (baidu.com)
虛擬幣_百度百科 (baidu.com)
礦機_百度百科 (baidu.com)
[原創]關于雙系統挖礦,新型AutoUpdate挖礦病毒的分析與討論-軟體逆向-看雪論壇-安全社區|安全招聘|bbs.pediy.com
幽靈病毒hAnt肆虐礦場,礦工每小時損失2000元 - 安全內參 | 決策者的網路安全知識庫 (secrss.com)
全面??????清理整頓挖礦病毒,如何防止被通報?深信服挖礦病毒防護解決方案出爐 (chinaz.com)
想要解決礦場網路難題?你需要做到這四點 (baidu.com)
轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/402496.html
標籤:區塊鏈
上一篇:區塊鏈知識
下一篇:大一上學期小結