针对挖矿木马的一些基本认识

最新推荐文章于 2024-07-31 10:47:30 发布
最新推荐文章于 2024-07-31 10:47:30 发布
阅读量3k 收藏 6
点赞数 1
文章标签: 区块链 比特币
原文链接:https://blog.csdn.net/yuanfengfengyuan/article/details/87275661
版权

区块链


区块链是一种分布式的数据库,区块链中每一个区块可以用来记录多笔交易数据(如比特币的交易数据,A->B转账1个bit币),多个区块以链条式的方式串联在一起,就可以称为区块链。比特币就是利用区块链技术来实现去中心化。相当于你下载比特币客户端后,客户端就会自动从互联网上下载现有的区块链,类似于你拿到了比特币所有以往的交易账本。区块链在线演示平台

区块链表Tokens
上图就是一个区块链,共有3个区块,单个区块中有区块编号、随机值、交易数据data、prev前一个区块的hash值,hash 当前区块的hash值,修改任意一个字符,hash值也会随之改变。

什么是挖矿


挖矿可以简单理解成计算当前区块的hash值,而计算hash值的人称为矿工。

比如现实中,A需向B转账了100元,那么A将这条信息发布出去(A->B 支付100元),
矿工拿到这条交易数据,就会查看区块链找到A的所有转账记录(区块链可以理解成账本),计算A账户中是否有足够的钱,有的话那么这条记录就会被矿工写到区块的交易数据区,计算hash值,生成新的区块发布到互联网,一旦被其他节点认可那么这个新区块就会添加到区块链的末尾,同步更新,B过一段时间后从区块链中找到A转账给自己的记录,并且确认区块合法,那么B就可以认为此次转账成功。

挖矿

既然生成一个hash值如此容易,那么我们印象中的挖矿难是啥原因呢?
主要是因为对区块的hash值有一定的要求,比如要求hash值前4位为0的新区块才算合法区块,才能被其他节点认可,那么就需要修改区块里面的数据,在当前区块中交易数据不能修改(区块链的核心目的就是为了记录和保存真实的交易数据,如果能让你修改交易区数据,区块链就没有存在的意义了,保证交易数据的不可篡改可以理解为签名式验证,就比如某矿工抄错了某笔交易,别的节点在收到这个错误的区块的时候会主动验证里面的交易数据,发现错误,并舍弃,因为单笔交易数据是每个节点都能查询到的),那么矿工能修改的也就只有随机值了,矿工通过修改随机值来不断的生成hash值,直到hash值前4位为0。如上图中,区块1 随机值105500,区块2中的19200。

为啥要挖矿


以比特币为例,如果没有没人挖矿,就生成不了新的区块,区块链就不会增加,那么比特币就没法进行交易,无法进行流通。

为了保证不断有人进行挖矿,不断有新的区块产生,保证区块链的增长,比特币创始人就说谁在10分钟内生成新的区块并被其他节点认可,那么就会给挖矿的人一定的比特币奖励。这个时候就是拼计算机的运算速度了,为了保证10分钟左右才能生成新的区块,比特币会不断的调整挖矿的难度,比如这个周要求hash值前4位为0的才算合法,那么下周调整为前5位为0的新区块才算合法,那么难度就会不断的加大。全球矿工同时挖矿,拼的就是谁先挖到矿(生成新的区块)。

什么是矿池


矿池大家可以理解为很多挖矿机组成的一个整体,因为硬件的提升,以及每10分钟内全球只有一个新区块能够被认可,那么很多私人靠单一的计算机运算量很难在短短10分钟内生成新得区块,那么就把很多挖矿机器组合到一起,由矿池统一分发任务,一旦生成新的区块,那么矿池就会根据每台机器的功劳进行分发奖励,矿池就类似于集资分红,比如某个矿池在某个时间段生成新区块并被认可,比特币创始人给了10个比特币给矿池,那么矿池可能扣掉手续费1个比特币,把剩下的9个比特币按照功劳分发给矿池里的矿工。

什么是挖矿钱包


比特币在实际的交易中用户的名称是一串很长的字符串,类似于银行卡号,比如新创建的账户,那么里面的比特币的额度就是0,如果你利用木马等手段找肉鸡进行挖矿,现在一般的都是加入矿池进行挖矿,那么如果挖矿成功了,那么矿池的钱包账户就会向你的钱包里面转0.1BIT,那么你卡上就是0.1个比特币。

怎么挖矿
github上都有相应的开源挖矿软件或源码,搜都一大堆,这边主要看一下挖矿木马的通信流量是什么样子的?

挖矿木马流量截图


如上面2个图中,wireshark抓包,右键查看TCP流,可以看到类似于JSON格式的通信数据,如上图里面key: login对应42d4…开头的一串值,这个就是挖矿钱包,挖矿源码是XMRig,通过这个钱包很难查到这个钱包的拥有者,只能查到当前钱包有多少额度,隐蔽性很高,所以比特币常被用来进行非法交易,洗钱勒索啥的。

怎么发现和预防


日常生活中碰到很多挖矿的程序,直接一上来就消耗全部资源进行挖矿的木马程序相对比较少,大部分都是在受害端空闲的时候进行挖矿,受害者活动时间呢挖矿程序是停止的,这样有很强的隐蔽性,很多客户机器中招了1~2年后才被发现都是常态,很多时候杀毒都没用,因为很多木马在植入的时候就加入系统或者杀毒软件白名单了,而且挖矿很多时候并不存在恶意的攻击行为,不会像远控或者病毒蠕虫之类的进行破坏操作。

后面抽空会找一个具体的挖矿木马,写一些用Pchunter进行手工处理的文章。

目前常见的发现处理方式:
1、个人终端杀毒必备,445、139等端口最好关闭;
2、有条件的在网关接口部署态势感知设备或者开源的suricata,把一些常见的矿池地址以黑域名的方式添加进去,同时也可以针对特定的挖矿家族进行特征的提取。(这边我就不写具体的规则了,我看了一下suricata里面的规则,里面就有一些,大家可以去研究一下)
3、Linux系统挖矿木马的处理目前建议使用一些开源的杀毒软件扫一下,然后通过TOP进程定位到挖矿木马进行分析处理。
————————————————
原文链接:https://blog.csdn.net/yuanfengfengyuan/article/details/87275661

MacroCurtain
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一次挖矿木马病毒排查过程
vbaspdelphi的专栏
04-17 8252
兰眼发现该机器与挖矿网站有通信。通知用户进行查杀。电话得知北京刘工不方便,我们商讨后由我们代为安装火绒和rdpguard软件。 经过查杀,将RAR病毒处理后,截止到11:15,已经没有了病毒表现。 但是使用火绒再次扫描系统,依旧发现有文件映像劫持。大体意思是图片文件扩容属性运行taskmgr.exe。 那么什么是映像劫持呢? 什么是映像劫持 也许你曾遇到过这种情况:无论你将软件安装在什么地方,在运...
挖矿木马总结
luckc7的博客
06-09 1507
挖矿木马总结与案列分享
什么是挖矿木马?我猜你还不知道
yy1715713348的博客
12-19 1052
由于区块链技术热炒以及数字货币魔性推广运营,如比特币、以太币、门罗币、达世币等层出不穷的数字货币各种热炒,在这些的利益驱使下便出现各种模式的挖矿木马程序。挖矿木马主要就是通过利用各种手段,将挖矿程序植入到用户的计算机中,在用户不知情的情况下,偷偷利用用户的计算机进行执行挖矿功能,从而获取收益。1.用户往往在不注意的时候,下载并运行了来历不明的破解软件或不安全软件;2.用户点击运行了钓鱼邮件中的附件的文件;3.用户没有做好系统及时更新,通过系统漏洞传播;
挖矿木马简单分析
AlwaysBetter
07-27 1561
#!/bin/sh #更改当前进程最大打开文件数为65535 ulimit -n 65535 #删除linux下系统关键日志信息 rm -rf /var/log/syslog #给chattr最高权限 chattr (chattr可以修改文件隐藏属性,如不可删除) chmod 777 /usr/bin/chattr chmod 777 /bin/chattr # -iua i:只许修改,不允许建立和删除 u删除文件会保存,以后可以恢复 a只允许建立和修改,不允许删除 # -iua 和 + 相反 去除文件
libgcc-a挖矿木马清除脚本
05-19
用于清楚Xmrig木马变种libgcc_a
WorkMiner挖矿木马应急处置手册.pdf
07-09
WorkMiner挖矿木马应急处置手册
Scratch挖矿游戏作品:挖矿
03-14
可售出矿石,获得钱币,以购买“稿子”“护盾”等。干货满满,欢迎转载,记得注明原作者。此后仍有各热门或有趣游戏,请关注原作者,且点赞加收藏,记得推荐好友。下载即可玩,快点来下载吧!
H5挖矿小游戏,挖矿达人
最新发布
07-31
H5版的挖矿小游戏,H5版APP架构
Scratch 挖矿游戏:矿工小猫
07-05
角色数量:35,素材数量:805,积木数量:15561,音频数量:55 ...有滚轮切换物品栏、恢复初始设置、呼吸系统和死亡惩罚,屏幕变黄表示你已经缺氧了,如果不喝药或返回地面补充就会饿死! 此后仍有作品或有趣游戏、...
挖矿木马解决方案
Nicola.Zhang
01-26 513
挖矿木马解决方案】 https://cloud.tencent.com/developer/article/1731875 www.jianshu.com/p/44b7063770a9 blog.csdn.net/ch520my/article/details/83657325 blog.csdn.net/dubaiToT/article/details/102716845
Linux中招挖矿木马如何处置,附带解决方案
是故事啊~关注我~
01-25 6967
前段时间一位朋友在群里反应,公司的部署大数据集群的Linux服务器中了挖矿木马病毒,让我给他解决,分享一下解决方法。 一. 什么是挖矿木马 首先经过多年的演进,越来越多的挖矿木马利用多种方式入侵系统,意图感染更多的机器,提高挖矿的效率和收益,其中主要入侵方式如下: 1. 漏洞利用:利用系统漏洞快速获取相关服务器权限,植入挖矿木马是目前最为普遍的传播方式之一。常见的漏洞包括Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、web漏洞等。 部分攻击者选择直接利用永恒之蓝...
应急响应-挖矿木马
qq_50765147的博客
02-05 1013
挖矿的英语为Mining,早期主要与比特币相关。用户使用个人计算机下载软件,然后运行特定算法,与远方服务器通信后可得到相应比特币挖矿就是利用比特币挖矿机赚取比特币挖矿木马是利用各种方法入侵计算机,利用被入侵计算机的算力挖掘加密数字货币以牟取利益的木马。其即可以是一段自动化扫描、攻击的脚本,也可以集成在单个可执行文件中。挖矿木马为了能给长期在服务器中驻留,会采用多种安全对抗技术,如修改任务计划、修改防火墙配置、修改系统动态链接库等,使用这些技术手段严重时可能造成服务器业务中断。
服务器被挖矿木马攻击该怎么处理
weixin_34101784的博客
02-12 542
2019独角兽企业重金招聘Python工程师标准>>> ...
解决 ECS 服务器中了挖矿木马问题,处理和解决方案
简简单单Onlinezuozuo
02-02 1214
文章目录解决 ECS 服务器中了挖矿木马问题,处理和解决方案1、监控 CPU 占用2、查看定时任务3、解决方案4、保守解决方案5、mysql 无法启动的情况 解决 ECS 服务器中了挖矿木马问题,处理和解决方案 1、监控 CPU 占用 top 显示一次后,立马消失,但是监控到的占用是 100% 因为进程被隐藏,或者有守护进程 2、查看定时任务 crontab -l 会发现存在定时任务 3、解决方案 删掉定时任务 rm -rf /etc/cron.d/root rm -rf /var/spool/cr
木马是个什么东西
Sunny
01-26 1125
木马,也称特洛伊木马,英文名称为T r o j a n H o r s e ,是借自“木马屠城记”中那只木马的名字。古希腊有大军围攻特洛伊城,久久不能得手。有人献计制造一只高二丈的大木马假装作战马神,攻击数天后仍然无功,遂留下木马拔营而去。城中得到解围的消息,及得到“木马”这个奇异的战利品,全城饮酒狂欢。到午夜时分,全城军民尽入梦乡,匿于木马中的将士开密门游绳而下,开启城门四处纵火,城外伏兵涌入,
记录某次“有趣的“挖矿木马排查
2301_80127209的博客
07-31 318
挖矿木马是一种恶意软件,它在用户不知情或未经同意的情况下,利用受害者的计算机资源进行加密货币挖矿。这类软件通过执行大量运算来挖掘数字货币,如比特币或门罗币等。挖矿木马通常通过漏洞利用、弱口令爆破或非法应用传播等手段植入用户的计算机系统中。
活跃挖矿木马盘点
m0_59598029的博客
07-30 416
挖矿木马通过各种手段将挖矿程序植入受害者的计算机中,在用户不知情的情况下,利用受害者计算机的运算能力进行挖矿,从而获取非法收益。目前已知多个威胁组织(例如,“8220”、H2Miner等)传播挖矿木马,致使用户系统资源被恶意占用和消耗、硬件寿命被缩短,严重影响用户生产生活,妨害国民经济和社会发展。2022年,安天CERT发布了多篇针对挖矿木马的分析报告,现将2022年典型的挖矿木马梳理形成家族概览,进行分享。挖矿木马家族出现时间针对平台—|—|—82202017年Outlaw2018年Linux。
windows挖矿木马
09-08
对于 Windows 系统的挖矿木马,以下是一些常见的问题和解决方案: 1. 如何防止 Windows 系统感染挖矿木马? - 安装有效的杀毒软件,并始终保持其更新。 - 避免从不可信的来源下载和安装软件。 - 及时更新 Windows 操作系统和其他软件补丁。 2. 如何检测和删除挖矿木马? 运行杀毒软件全面扫描系统,确保其能检测并删除挖矿木马。 - 使用安全软件或工具来检测和清除恶意文件和注册表项。 - 对可疑进程和网络连接进行检查,并关闭或删除它们。 3. 如果我怀疑自己的系统被感染了,该怎么办? - 立即运行杀毒软件进行系统扫描。 - 如果杀毒软件无法解决问题,可以尝试使用专门的挖矿木马清除工具。 - 如果问题仍然存在,可以考虑重装操作系统来清除感染。 请注意,这些只是一些基本的建议。如果你遇到了一个真实的威胁,最好咨询专业人士或技术支持来帮助你解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值