硬核推薦(門羅幣挖礦算法分析)門羅幣挖礦算法是什么,云上挖礦大數(shù)據(jù):黑客最鐘愛門羅幣,給個網(wǎng)站你知道,
目錄:
1.門羅幣挖礦是什么意思
2.門羅幣礦機收益,門羅幣挖礦收益
3.2021門羅幣挖礦教程
4.門羅幣官方錢包挖礦
5.門羅幣挖礦一天收益
6.門羅幣手機挖礦app下載
7.門羅幣用什么礦機挖
8.門羅幣好不好挖
9.門羅幣挖坑
10.門羅幣挖礦教程新手
1.門羅幣挖礦是什么意思
2018年,區(qū)塊鏈項目在這一年上演著冰與火之歌,年初火爆的比特幣在一年時間內(nèi)跌去八成除了巨大的市場波動之外,區(qū)塊鏈領(lǐng)域本身的安全問題也逐漸凸顯,與之相關(guān)的社會化問題不斷顯現(xiàn)“勒索”、“盜竊”、“非法挖礦”是區(qū)塊鏈項目數(shù)字加密貨幣的三大安全威脅,其中云主機用戶面臨的首要安全問題是非法挖礦。
2.門羅幣礦機收益,門羅幣挖礦收益
非法挖礦一般分增長點為基于文件的挖礦和基于瀏覽器的挖礦由于云主機用戶一般不使用瀏覽器訪問網(wǎng)頁,故基于瀏覽器的挖礦在公有云上并非較大的威脅反之,云上基于木馬文件的入侵挖礦事件層出不窮,黑客通過用戶云主機上的通用安全問題入侵并進(jìn)行挖礦來直接獲取利益,使得用戶 CPU 等資源被耗盡,正常業(yè)務(wù)受到影響。
3.2021門羅幣挖礦教程
這些被黑客利用的通用問題往往是由于用戶缺乏安全意識而導(dǎo)致的騰訊安全云鼎實驗室通過對云上挖礦木馬的網(wǎng)絡(luò)、文件、進(jìn)程關(guān)聯(lián)分析,在日常的安全對抗中,發(fā)現(xiàn)了大量黑客嘗試入侵挖礦的行為對此類行為的特征進(jìn)行統(tǒng)計分析,將樣本、惡意行為加入相關(guān)安全產(chǎn)品的規(guī)則庫和算法模型,并進(jìn)行有效地遏制和打擊。
4.門羅幣官方錢包增長點挖礦
本文對云上入侵挖礦行為共性進(jìn)行了統(tǒng)計分析,幫助用戶對挖礦行為進(jìn)行防御,從而更好地保障騰訊云用戶安全一、幣種分析(挖礦目標(biāo)分析)對于云上挖礦,首要的話題是黑客入侵挖礦的目標(biāo),即挖礦幣種經(jīng)過分析,云上黑客入侵挖礦的行為均采用礦池挖礦的形式,其主要特征是對礦池地址進(jìn)行有規(guī)律地訪問。
5.門羅幣挖礦一天收益
云鼎實驗室通過對礦池地址進(jìn)行統(tǒng)計和歸類,發(fā)現(xiàn)云上入侵挖礦幣種主要是門羅幣(XMR)、氪石幣(XCN)和以利幣(ETN)究其原因,早期的幣種如比特幣、萊特幣等,其算法設(shè)計中挖礦行為的本質(zhì)是進(jìn)行重復(fù)的計算工作,而 CPU 不擅長并行運算,每次最多執(zhí)行十幾個任務(wù),挖礦效率極低,黑客難以利用。
6.門羅幣手增長點機挖礦app下載
相對而言, 顯卡GPU 是數(shù)以千計的流處理器,一些頂級顯卡挖礦效率是 CPU 的上百倍,所以傳統(tǒng)的挖礦方式一般采用顯卡 GPU 挖礦而門羅幣和以利幣等第二代虛擬貨幣采用了 CryptoNight 算法,此種算法特別針對 CPU 架構(gòu)進(jìn)行優(yōu)化,運算過程中需要大量的暫存器,不再依賴于GPU挖礦,且也沒有對應(yīng)的ASIC,于是黑客在入侵云主機之后更多會選擇消耗機器 CPU 資源挖礦來直接獲得利益,所以門羅幣等幣種可在以CPU 為主的云平臺上流行。
![](https://pic4.zhimg.com/80/v2-42c6011c2cbacd1d105c7c9cb1406ce7_720w.webp)
7.門羅幣用什么礦機挖
在過去的一年中,即使門羅幣價格一路下行,也擋不住黑客的熱情,進(jìn)一步對挖礦行為趨勢的統(tǒng)計發(fā)現(xiàn),公有云上門羅幣挖礦的行為數(shù)量增長點不僅沒有下降,反而還在下半年持續(xù)攀升門羅幣是匿名貨幣,其地址、交易金額、交易時間、發(fā)送方和接收方等信息完全隱匿,難以查詢與追蹤。
8.門羅幣好不好挖
因為黑客植入挖礦程序是違法行為,使用門羅幣,就算發(fā)現(xiàn)主機被植入挖礦木馬,也無法通過挖礦的地址、交易等信息查詢到黑客的行蹤云鼎實驗室通過對數(shù)字貨幣的價格走勢和挖礦熱度進(jìn)行關(guān)聯(lián),嘗試對幣種價格與挖礦熱度進(jìn)行分析,發(fā)現(xiàn)挖礦的熱度與幣種價格成正比關(guān)系(部分高價值幣,比如門羅幣,由于其本身持續(xù)存在的價值,不受此規(guī)律影響)。
9.門羅幣挖坑
對以利幣的價格走勢觀察發(fā)現(xiàn),其從1月中旬開始就呈下降趨勢:
![](https://pic2.zhimg.com/80/v2-2f5c7164374ad18deafdee4e8bcd5e81_720w.webp)
10.門羅幣挖礦教程新手
對以利幣對應(yīng)礦池的訪問數(shù)據(jù)觀察發(fā)現(xiàn),其訪問量增長點也呈下降趨勢,下半年已經(jīng)基本無人問津,如下圖:
![](https://pic4.zhimg.com/80/v2-a62a6ba7e9d64dda370661dd8ad7547b_720w.webp)
所以整體觀察可以發(fā)現(xiàn),黑客入侵挖礦選擇的幣種與幣種價值有關(guān),對小幣種的選擇在一定程度上取決于其價格,挖礦熱度與幣種價格成正比;高價值的幣種由于其持續(xù)存在的價值,不受此規(guī)律影響由于云主機的計算資源以CPU為主,黑客通過漏洞入侵用戶機器選擇的幣種具有統(tǒng)一的特性,這些幣種的算法主要以 CryptoNight 為主,可以直接使用 CPU 挖礦,不依賴于 GPU 就產(chǎn)生較大的效益。
二、礦池分析對黑客的挖礦方式進(jìn)一步分析發(fā)現(xiàn),云上黑客入侵挖礦主要采用礦池挖礦的方式隨著數(shù)字貨幣的火熱,越來越多的人力和設(shè)備投入到各種幣種的挖礦,導(dǎo)致各種幣種的全網(wǎng)運算水準(zhǔn)呈指數(shù)級別增長點上漲,單個設(shè)備或者少量算力都難以獲得區(qū)塊獎勵;而礦池挖礦是一種將不同少量算力聯(lián)合運作的方式,以此提升獲得區(qū)塊獎勵的概率,再根據(jù)貢獻(xiàn)的算力占比來分配獎勵。
相比單獨挖礦,加入礦池可以獲得更穩(wěn)定的收益,因此眾多的礦工均采用礦池挖礦,黑客亦如此以下為云上黑客入侵挖礦使用主要礦池列表:
![](https://pic2.zhimg.com/80/v2-949c0b1576cf8f03d1f8befcca007651_720w.webp)
通過對礦池地址進(jìn)行歸類統(tǒng)計發(fā)現(xiàn),黑客入侵后挖礦使用最多的礦池為http://minexmr.com。如下圖,該礦池算力在全網(wǎng)門羅幣礦池中排名第三。
![](https://pic4.zhimg.com/80/v2-d6112e55d6ce79b643a5678e36d5279b_720w.webp)
門羅幣目前全網(wǎng)算力(Hashrate)約為460MH/s,http://xmr.nanopool.org 就達(dá)到99.79MH/s,提供了門羅幣20%以上的算力;http://p增長點ool.minexmr.com
達(dá)到62.78MH/s提供了門羅幣13.6%的算力; http://xmr.pool.minergate.com 的算力也達(dá)到26.50MH/s;這些均是云上黑客入侵挖礦使用的主要礦池,意味著云上存在漏洞而被入侵挖礦的機器就是其中的礦工,是這些算力的貢獻(xiàn)者。
而國內(nèi)自建礦池也不甘示弱,皮皮蝦、一路賺錢、和魚池 (ppxxmr.com,yiluzhuanqian.com,http://f2pool.com) 受歡迎的程度分別排名第三、第四、第九。
![](https://pic1.zhimg.com/80/v2-893031e9e4b689cf76656ee032dba3d4_720w.webp)
云鼎實驗室對挖礦常使用端口統(tǒng)計發(fā)現(xiàn),5555、7777、3333等罕見端口常被用作礦池連接的端口,其中45700、45560增長點則為 http://minergate.com 指定過的礦池端口黑客使用的特定礦池地址和端口就是其進(jìn)行入侵挖礦惡意行為的特征之一,正常的服務(wù)器并不會對這些礦池地址和罕見端口進(jìn)行連接訪問。
通過對礦池地址和端口進(jìn)行統(tǒng)計,用戶可以采用流量抓包等方式針對性地檢查自己的云主機是否中招,甚至可以在不影響業(yè)務(wù)的前提下直接屏蔽對應(yīng)礦池的訪問,也可在一定程度上起到防護的作用三、漏洞利用入侵與溯源分析云鼎實驗室對黑客入侵挖礦行為的攻擊方式進(jìn)行統(tǒng)計分析,發(fā)現(xiàn)云上入侵挖礦的行為中,黑客在選擇攻擊目標(biāo)和入侵方式上也存在一定的共性。
下圖為云鼎實驗室對 xmr.pool.minergate.com 影響機器數(shù)量在一定時間內(nèi)增長點進(jìn)行的分布統(tǒng)計。
![](https://pic4.zhimg.com/80/v2-ed878d090bbb8dc6b71e89f80967412f_720w.webp)
下圖為 cpuminer-multi.exe 礦機的新增情況,cpuminer-multi.exe 啟動時一般會請求上述的礦池地址。
![](https://pic1.zhimg.com/80/v2-0a11675b080bfebd045b601fe63806b8_720w.webp)
對比以上兩張圖,可以發(fā)現(xiàn)在2018年4月15日和6月18日,cpuminer-multi.exe 礦機均出現(xiàn)了突增,對應(yīng)時間點的 http://xmr.pool.minergate.com 礦池連接數(shù)量也出現(xiàn)了增加,而這些時間點基于云鼎實驗室日常的事件和響應(yīng)統(tǒng)計,均出現(xiàn)過大批量的通用安全問題的利用情況。
![](https://pic2.zhimg.com/80/v2-67411f4e2dd246113e42971a027da77d_720w.webp)
通過對歷史捕獲挖礦案例的分析發(fā)現(xiàn),云上挖礦通常是一種批量入侵方式,這種批量入侵的特性,使得黑客只能利用通用安全問題,比如系統(tǒng)漏洞、服務(wù)漏洞,最常見的增長點是永恒之藍(lán)、Redis未授權(quán)訪問問題等云上入侵挖礦行為的感染和挖礦方式主要分為兩種類型,其中一種類型是在病毒木馬主體中直接實現(xiàn)相關(guān)的掃描、利用、感染和挖礦功能,如下圖對某木馬逆向可見錢包地址和礦池地址直接硬編碼在程序中:。
![](https://pic3.zhimg.com/80/v2-853e95d6631384bfff81528e4449a92e_720w.webp)
而另一種方式則是利用獨立的挖礦程序,這些挖礦程序一般是來自開源程序,比如 xmrig 項目 (https://github.com/xmrig/xmrig),這類挖礦一般會在入侵后先植入 bash 或者 VBScript 腳本等,再通過腳本實現(xiàn)對挖礦程序的下載或者其他掃描利用程序的下載,同時通過參數(shù)指定礦池和錢包地址,以下就是其中一個 VBScript 腳本內(nèi)容和啟動的挖礦進(jìn)增長點程:
![](https://pic2.zhimg.com/80/v2-bcede7ab1db2427ac09e09691933b8ed_720w.webp)
![](https://pic3.zhimg.com/80/v2-436a0c06c4e41c15000fec779c2f94aa_720w.webp)
其中主流方式是直接啟動挖礦程序進(jìn)行挖礦。通過分析礦機常用的進(jìn)程,也可以得到印證:
![](https://pic2.zhimg.com/80/v2-4d43ff6c2a637a750d966fc6fb09a73d_720w.webp)
影響最大的 minerd 出自 https://github.com/pooler/cpuminer;Windows上的 cpuminer-multi.exe 礦機源于 https://github.com/tpruvot/cpum
iner-multi;而 kworkers、kappre、xmrig.exe 等均編譯自 https://github.com/xmrig/xmrig集成開源礦機挖礦只需要一條命令,使得黑產(chǎn)行業(yè)越來越多的使用此種形式來進(jìn)行挖礦。
進(jìn)一步嘗試統(tǒng)計黑客身份,針對部分?jǐn)?shù)據(jù)進(jìn)行進(jìn)程的命令參數(shù)分增長點析統(tǒng)計,提取其中挖礦錢包地址用戶名發(fā)現(xiàn),云上挖礦行為聚集狀態(tài),大量被黑的云主機礦機掌握在少量的黑客團伙/個人手中(其中郵箱是 http://minergate.com
的用戶名)。
總結(jié)黑客的入侵挖礦行為發(fā)現(xiàn),存在通用安全漏洞(如永恒之藍(lán))的云主機成為黑客主要的入侵目標(biāo),黑客通常采用批量掃描通用安全問題并入侵植入挖礦程序的方式進(jìn)行惡意挖礦一些傳統(tǒng)企業(yè)、政府機構(gòu)等行業(yè)的機器被入侵挖礦現(xiàn)象尤為顯著,主要原因是這些行業(yè)的云主機由于維護人員缺乏安全意識,容易存在漏洞,甚至長期不登錄云主機,更是變向給黑客提供了長期礦機,這些存在安全問題的云主機也是云上挖礦等惡意行為肆意繁衍的溫床。
所以提升安全意識,避免在云增長點主機中引入漏洞,發(fā)現(xiàn)漏洞后及時修復(fù)是防止被黑客入侵挖礦的唯一方法四、安全建議基于以上云鼎實驗室對云上入侵挖礦主要特征的總結(jié),可以發(fā)現(xiàn)黑客入侵挖礦的主要目標(biāo)是存在通用安全漏洞的機器,所以預(yù)防入侵挖礦的主要手段就是發(fā)現(xiàn)和修復(fù)漏洞:
可以根據(jù)業(yè)務(wù)情況使用騰訊云安全組或者服務(wù)器自帶防火墻關(guān)閉非業(yè)務(wù)需要的端口,對于一些部署的服務(wù),如無必要避免開放在外網(wǎng)上,即使因為業(yè)務(wù)需要開放,也應(yīng)該限制訪問來源關(guān)注操作系統(tǒng)和組件重大更新,如 WannaCry 傳播使用的永恒之藍(lán)漏洞對應(yīng)的 MS17-010,及時更新補丁或者升級組件。
為預(yù)防密碼暴力破解導(dǎo)致的入侵,建議更換默認(rèn)的遠(yuǎn)程登錄端口,設(shè)置復(fù)雜的登錄密碼,或者是放棄使增長點用口令登錄,轉(zhuǎn)而使用密鑰登錄自檢服務(wù)器上部署的業(yè)務(wù),有條件的話可以進(jìn)行滲透測試,及早發(fā)現(xiàn)并修復(fù)業(yè)務(wù)漏洞,避免成為入侵點。
使用騰訊云云鏡等安全產(chǎn)品,檢測發(fā)現(xiàn)服務(wù)器上的安全漏洞并且及時修復(fù)另外,針對已經(jīng)被入侵挖礦的情況,建議及時清理挖礦進(jìn)程和惡意文件,同時排查入侵點并修復(fù),從根本上解決問題五、附錄1、部分幣種和礦池列表以下為云上黑客入侵后挖礦的主要幣種和礦池列表:
2、部分挖礦程序樣本94fc39140ffafbd360a4cabc64b62077f068b7be8685c91bddbb186f6fad7962367dc6e9c65bb0b1c0eb1a4798c5e55b
f594a17d37c70增長點b0d18f33a3882e891a0db87bd6bc3554e4d868b7176925dcff55b0b4ccea8b6636966610edc346fe0648c9ab86572742d2323cee72ca2c0a3f2
367dc6e9c65bb0b1c0eb1a4798c5e55b0d25d679b9845847b0c180715a52d7663、部分錢包地址4A7sJwfkFrWB88V8NiJ2Fi3RwsWkR48PQ5hG2qXq6hu2U7e8fcVLJ81WtTzHGdNChsejcygkvUGpbiiUXAWXprWYHnBEvqC
43RhXdrqL26QFnZyWy增長點C53pcyaxKDQZent24CXGRLZ6196h6DkpzT43ZA2C1SpZGLDddAfr6hEhwqXg7F8dQpchFuDBz6Y6T47bvN8Z4UVq6kLjMFo4AF5UkwFbdzdhvoKNj1EN6iTYA2BvSDAsbGoXNMNeSfZajhz6xqQHHhPqbrRacnvELqrgyQYBqnXc
42h3ELK47SGe4jiit28qVvTRAwpnT1R3DZ7BEnQm3Jxe9wykcvLVoFd5GqpqepwGRrCbkyKJG4kg1hssUztaVACVJGhpGAK4AGF7tHM5ZpR7FRndiPMk6MxR1nSA8HnA增長點Vd5pTxspDEcCRPknAnFAMAYpw8NmtbGFAeiakw6rxNpabQ2MyBKstBY8sTXaHr
本文作者:zhenyiguo、jaryzhou、youzuzhang @騰訊安全云鼎實驗室騰訊安全云鼎實驗室關(guān)注云主機與云內(nèi)流量的安全研究和安全運營利用機器學(xué)習(xí)與大數(shù)據(jù)技術(shù)實時監(jiān)控并分析各類風(fēng)險信息,幫助客戶抵御高級可持續(xù)攻擊;聯(lián)合騰訊所有安全實驗室進(jìn)行安全漏洞的研究,確保云計算平臺整體的安全性。
相關(guān)能力通過騰訊云開放出來,為用戶提供黑客入侵檢測和漏洞風(fēng)險預(yù)警等服務(wù),幫助企業(yè)解決服務(wù)器安全問題