V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xhf3894
V2EX  ›  程序员

现在 CPU 挖矿都这么防不胜防

  •  
  •   xhf3894 · 2018-07-26 18:27:06 +08:00 · 6023 次点击
    这是一个创建于 2299 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我之前一台 windows 电脑,当测试 sql server 服务器用的。用了一个 frp 端口映射到了远程服务器。可能是 sql server 2005 有什么漏洞或者 frp 端口穿透导致了这台电脑后来被植入了挖矿程序。

    某一天我调试程序的时候发现执行存储过程超慢,连上去之后看,cpu 占用 100%。 然后看了下一共 2 个程序,一个 fix.exe 占用 75%,还有一个就比较有灵性了,搜狗云计算( SogouCloud.exe )占用 25%。刚好 2 个程序瓜分了所有的 cpu 资源,导致其他程序超慢。 然后这个 fix.exe 是个挖矿程序,这个程序放在 C:/Users/Public 下面并且设置为了系统隐藏文件。 贴一下这个挖矿程序的配置文件

     "pools": [
            {
                "url": "w1.homewrt.com:8756", // URL of mining server
                "user": "49EHNacRauzgz8cGouhrVChcLyF3XrGLAdWiczJxY1qpX3oed4cGgMUUHHhyR7taGJ1MtvpfJiDf9gugAko4MzXM9DRYzZ1",                        // username for mining server
                "pass": "x",                       // password for mining server
                "keepalive": true,                 // send keepalived for prevent timeout (need pool support)
                "nicehash": true                  // enable nicehash/xmrig-proxy support
            },
    		{
                "url": "w.homewrt.com:8756", // URL of mining server
                "user": "49EHNacRauzgz8cGouhrVChcLyF3XrGLAdWiczJxY1qpX3oed4cGgMUUHHhyR7taGJ1MtvpfJiDf9gugAko4MzXM9DRYzZ1",                        // username for mining server
                "pass": "x",                       // password for mining server
                "keepalive": true,                 // send keepalived for prevent timeout (need pool support)
                "nicehash": true                  // enable nicehash/xmrig-proxy support
            }
        ],
        "api": {
            "port": 0,                             // port for the miner API https://github.com/xmrig/xmrig/wiki/API
            "access-token": null,                  // access token for API
            "worker-id": null                      // custom worker-id for API
        }
    

    看配置文件,这个 cpu 挖矿的程序代码在这里 https://github.com/xmrig/xmrig/wiki/API

    处理方式:

    1. 安全模式下,将这个 fix.exe 打包并删除。
    2. 卸载搜狗输入法。
    3. 下载一个杀毒防护软件来替代裸奔。
    
    14 条回复    2018-07-27 11:12:43 +08:00
    460881773
        1
    460881773  
       2018-07-26 18:49:05 +08:00
    所以 你是来宣传你的挖矿源码?
    yongzhong
        2
    yongzhong  
       2018-07-26 18:54:30 +08:00
    emmm 所以真的是搜狗在搞鬼?还是说被搞成了替死鬼
    dorentus
        3
    dorentus  
       2018-07-26 20:58:58 +08:00 via iPhone
    @460881773 xmrig 又不是他写的…
    wangfei324017
        4
    wangfei324017  
       2018-07-26 22:22:53 +08:00
    门罗币,我司之前就有中毒,还好是测试服务器,删了重装了
    hippies
        5
    hippies  
       2018-07-26 22:41:11 +08:00 via Android
    这个和矿霸比谁比较流氓,2333
    zhzer
        6
    zhzer  
       2018-07-27 08:53:24 +08:00
    广告有点硬
    iyangyuan
        7
    iyangyuan  
       2018-07-27 09:25:46 +08:00 via iPhone
    竟然还带注释的,厉害厉害
    randyzhao
        8
    randyzhao  
       2018-07-27 09:53:05 +08:00
    注释很清晰,莫名想给开发者点赞。。。
    xhf3894
        9
    xhf3894  
    OP
       2018-07-27 09:54:07 +08:00
    @460881773 #1 我只是被这个震惊到了啊,即使是开源的东西也会被用到违法犯罪的方面。
    xhf3894
        10
    xhf3894  
    OP
       2018-07-27 09:59:30 +08:00
    @yongzhong #2 也许是意外情况,毕竟我用了端口穿透软件将 sql server 暴露在公网上面 运行了几个月。这个软件有行配置是配置 cpu 使用率 75%,恰好这 25%被另一个占用了,如果不是 100%,说不定还会更晚时间发现到这个问题。
    uwh0am1
        11
    uwh0am1  
       2018-07-27 10:05:16 +08:00
    老哥你应该看看这个文章 https://weibo.com/ttarticle/p/show?id=2309404264914922394994#_0。有个专门抓 sqlserver 弱密码的,然后跑爆破。成功之后通过 xp_cmdshell 等等等等去下载挖矿木马。看样子,和你所遭受的攻击一模一样,你可以下载样本,在 config.json 中,能看到和你挖矿马一模一样的配置
    xia0pia0
        12
    xia0pia0  
       2018-07-27 10:22:56 +08:00
    这个是比较弱的了批量工具了。真做得好的,驱动加免杀、进程注入,还有针对性过杀软的,关键还是自己提高安全意识,别人都是捕鱼的,别成为那条 fish.
    xhf3894
        13
    xhf3894  
    OP
       2018-07-27 10:34:24 +08:00
    @uwh0am1 #11 还真是你说的这种情况。我看 sql server 里面有个未知的账号,并且 job 里也有可疑的地方。
    uwh0am1
        14
    uwh0am1  
       2018-07-27 11:12:43 +08:00
    @xhf3894 哈哈,能帮到老哥就成,应该查杀起来不是很难的。下次注意别弱口令就行啦,安全措施一定要做好
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4812 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 01:10 · PVG 09:10 · LAX 17:10 · JFK 20:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.