目錄
一. 什麼是挖礦
二. 挖礦的危害
三. 如何确認被挖礦
四. 挖礦應急響應流程
1. 确認告警是否屬于挖礦
2. 确認挖礦後的清理工作
五. 溯源
一. 什麼是挖礦
我們平常所聽到的挖礦就是利用電腦計算出哈希值的一個過程。誰能第一個計算出來,并通知全網得到驗證,誰就算挖到了這個區塊,擁有這個區塊的獎勵和打包的礦工費。用于計算的電腦一般有專業的挖礦晶片,多采用燒顯示卡的方式工作,耗電量較大。是以我們的電腦被挖礦了資源就會消耗的非常快,cpu使用率将近%100。再舉一個詳細的例子說明
在以POW(Proof-of-Work,工作量證明)作為共識協定的币種中,以比特币為例,礦機通過解決比特币網絡公布的謎題并獲得獎勵的過程就稱之為挖礦。
比如某一時刻比特币網絡給的謎題為:
X+10<12,X為正整數,求解X?
那麼在接入比特币網絡的各個礦機中,哪個礦機先求解出X=1并公布出去,則稱該礦機挖礦成功,并可以獲得比特币網絡的比特币獎勵。這就是POW挖礦(工作量證明)的基本原理,當礦機求解出X的時候,就證明自己完成了一定的計算量(工作量),以此來獲得獎勵,礦機努力獲得獎勵的過程我們戲稱為挖礦。
當然在實際的比特币挖礦中,謎題要比上述的例子中困難的多,各個礦機由于性能的不同,解決謎題的能力也不盡相同,誰先解決的快,那獎勵就給誰,是以礦機的性能對于挖礦收益有很大的關系。在挖礦行業,我們用“算力”一詞作為評價礦機性能的名額。
- “礦”就是指比特币;
- “挖礦”則是指在區塊鍊的"區塊鍊網絡"上挖比特币的行為;
- “礦工”是指運用挖礦裝置(比如說比特币礦機,一種可以用于計算的電腦裝置),參與挖比特币的人。
即
挖礦就是利用你的電腦去計算hash值的一個過程,目的是擷取比特并的獎勵
二. 挖礦的危害
計算機服務資源如cpu資源被嚴重占用,導緻我們的正常服務不能夠進行
三. 如何确認被挖礦
當伺服器或PC處于什麼樣的狀态時,我們可以判定為被挖礦。通常來說,當我們的伺服器或PC資源(CPU)使用率接近或超過100%,并持續高居不下導緻伺服器或PC操作延緩,我們就可以判定被挖礦。常見挖礦其它特征如下:
- 伺服器或PC通路[過]不受信任的位址,這些位址包括:主機、IP、域名。這是由于大部分挖礦都需要從一個不受信任的位址下載下傳初始化程式,而不受信任的來源主要是:第三方情報結構,企業内部曆史資料沉澱。
- 伺服器或PC新增異常或惡意檔案、程序或服務,并且大部分異常檔案儲存在伺服器或PC的TMP目錄中。
- 伺服器或PC的定時任務發生變更。
四. 挖礦應急響應流程
PS:在整個處理挖礦的應急響應過程中,我們應該嚴格執行做好記錄與備份工作。包括對分析過程中的指令、分析的檔案都做好記錄與備份。
這裡的流程是一個最簡化的流程,通常對于小B來說完整的流程包括:
1. 确認告警是否屬于挖礦
通常我們都是通過告警的形式得知伺服器或PC被挖礦。這個時候我們首先需要判斷告警是否屬于誤報,如果不是誤報那麼需要确認告警是否真的屬于惡意挖礦,如果不屬于需要丢到其它的應急響應流程中,如果屬于挖礦就需要進行後續的處理。
下面是一些常見的确認挖礦方法:
1.1 windows确認挖礦
- 打開資源管理者,查找占用CPU資源較高的服務和程序,右鍵打開檔案所在位置,對檔案進行分析檢視是否屬于挖礦程式
或者借助第三方工具進行分析
1.2 Linux确認挖礦
- 使用top指令檢視系統性能,找出消耗資源較高的程序PID;
- 根據擷取的PID資訊利用ps -ef -p PID号,找出系統程序詳細資訊
- 根據程序詳細資訊定位到檔案位置,進入檔案位置進行檔案分析,确認是否屬于挖礦程式。
2. 确認挖礦後的清理工作
當我們通過2.1确認伺服器或PC屬于被挖礦後,我們需要執行清理工作。如果先分析再删除,更多是為了不破壞被攻擊的環境友善溯源;但是如果我們在整個過程中做好完整的備份與記錄,先删除再分析也OK。
下面是一些常見的清理挖礦方法:
2.1 Windows清理挖礦
- 确認挖礦程式後,先對挖礦程式進行備份。
- 然後先關閉對應的服務與程序
- 再删除對應的定時任務
- 最後删除對應的檔案。在删除檔案之後,反向再查詢一遍定時任務、程序與服務,最好是在間隔一定時間段後再複查一次。
在Windows中通常使用圖形界面進行操作,是以就不廢話了。
2.2 Linux清理挖礦
Linux中在确認挖礦以後,也同樣需要備份挖礦程式,再執行響應的操作。
- 停止服務:systemctl stop *.service;
- 殺掉程序:kill 9 PID,很多時候不光殺掉一個程序;
- 删除檔案:rm -fr abnormal_file,删除檔案時可以使用find / -name abnormal_file查找出系統中所有的惡意檔案;
- 清理定時任務:crontab -e;
與Windows相同的是在删除完成後我們需要反向操作一次與間隔一定時間後再複查一次是否清理幹淨。
五. 溯源
......未完