现在 CPU 挖矿都这么防不胜防

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 2843 days ago, the information mentioned may be changed or developed.

我之前一台 windows 电脑，当测试 sql server 服务器用的。用了一个 frp 端口映射到了远程服务器。可能是 sql server 2005 有什么漏洞或者 frp 端口穿透导致了这台电脑后来被植入了挖矿程序。

某一天我调试程序的时候发现执行存储过程超慢，连上去之后看，cpu 占用 100%。然后看了下一共 2 个程序，一个 fix.exe 占用 75%，还有一个就比较有灵性了，搜狗云计算（ SogouCloud.exe ）占用 25%。刚好 2 个程序瓜分了所有的 cpu 资源，导致其他程序超慢。然后这个 fix.exe 是个挖矿程序，这个程序放在 C:/Users/Public 下面并且设置为了系统隐藏文件。贴一下这个挖矿程序的配置文件

 "pools": [
        {
            "url": "w1.homewrt.com:8756", // URL of mining server
            "user": "49EHNacRauzgz8cGouhrVChcLyF3XrGLAdWiczJxY1qpX3oed4cGgMUUHHhyR7taGJ1MtvpfJiDf9gugAko4MzXM9DRYzZ1",                        // username for mining server
            "pass": "x",                       // password for mining server
            "keepalive": true,                 // send keepalived for prevent timeout (need pool support)
            "nicehash": true                  // enable nicehash/xmrig-proxy support
        },
		{
            "url": "w.homewrt.com:8756", // URL of mining server
            "user": "49EHNacRauzgz8cGouhrVChcLyF3XrGLAdWiczJxY1qpX3oed4cGgMUUHHhyR7taGJ1MtvpfJiDf9gugAko4MzXM9DRYzZ1",                        // username for mining server
            "pass": "x",                       // password for mining server
            "keepalive": true,                 // send keepalived for prevent timeout (need pool support)
            "nicehash": true                  // enable nicehash/xmrig-proxy support
        }
    ],
    "api": {
        "port": 0,                             // port for the miner API https://github.com/xmrig/xmrig/wiki/API
        "access-token": null,                  // access token for API
        "worker-id": null                      // custom worker-id for API
    }

看配置文件，这个 cpu 挖矿的程序代码在这里 https://github.com/xmrig/xmrig/wiki/API

处理方式：

1. 安全模式下，将这个 fix.exe 打包并删除。
2. 卸载搜狗输入法。
3. 下载一个杀毒防护软件来替代裸奔。

14 replies • 2018-07-27 11:12:43 +08:00

460881773

Jul 26, 2018

所以你是来宣传你的挖矿源码？

yongzhong

Jul 26, 2018

emmm 所以真的是搜狗在搞鬼?还是说被搞成了替死鬼

dorentus

Jul 26, 2018 via iPhone

@460881773 xmrig 又不是他写的…

wangfei324017

Jul 26, 2018

门罗币，我司之前就有中毒，还好是测试服务器，删了重装了

hippies

Jul 26, 2018 via Android

这个和矿霸比谁比较流氓，2333

zhzer

Jul 27, 2018

广告有点硬

iyangyuan

Jul 27, 2018 via iPhone

竟然还带注释的，厉害厉害

randyzhao

Jul 27, 2018

注释很清晰，莫名想给开发者点赞。。。

xhf3894

Jul 27, 2018

@460881773 #1 我只是被这个震惊到了啊，即使是开源的东西也会被用到违法犯罪的方面。

xhf3894

Jul 27, 2018

@yongzhong #2 也许是意外情况，毕竟我用了端口穿透软件将 sql server 暴露在公网上面运行了几个月。这个软件有行配置是配置 cpu 使用率 75%，恰好这 25%被另一个占用了，如果不是 100%，说不定还会更晚时间发现到这个问题。

uwh0am1

Jul 27, 2018

老哥你应该看看这个文章 https://weibo.com/ttarticle/p/show?id=2309404264914922394994#_0。有个专门抓 sqlserver 弱密码的，然后跑爆破。成功之后通过 xp_cmdshell 等等等等去下载挖矿木马。看样子，和你所遭受的攻击一模一样，你可以下载样本，在 config.json 中，能看到和你挖矿马一模一样的配置

xia0pia0

Jul 27, 2018

这个是比较弱的了批量工具了。真做得好的，驱动加免杀、进程注入，还有针对性过杀软的，关键还是自己提高安全意识，别人都是捕鱼的，别成为那条 fish.

xhf3894

Jul 27, 2018

@uwh0am1 #11 还真是你说的这种情况。我看 sql server 里面有个未知的账号，并且 job 里也有可疑的地方。

uwh0am1

Jul 27, 2018

@xhf3894 哈哈，能帮到老哥就成，应该查杀起来不是很难的。下次注意别弱口令就行啦，安全措施一定要做好