[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(四)

[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(四)

  博主介绍  

• ‍ 博主介绍：大家好，我是 _PowerShell ，很高兴认识大家~
• ✨主攻领域：【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
• 点赞➕评论➕收藏 == 养成习惯（一键三连）
• 欢迎关注一起学习一起讨论⭐️一起进步文末有彩蛋
• 作者水平有限，欢迎各位大佬指点，相互学习进步！

由于文章篇幅问题，本文主要讲了服务器受到矿机威胁怎么处理的问题，日志被删除怎么处理的问题，其他问题后续都会有详细介绍，欢迎关注和订阅哦。

第一篇文章简单从应急响应是安全岗位的必问知识点引入，从客户描述中寻找可利用信息帮助处理异常事件。重点介绍了什么是应急响应，应急响应基本流程。

第二篇文章从真实工作环境情况中，介绍了我们的分析方法及具体采用的一些分析技术、工具等内容。

第三篇文章从一些常见的面试问着手，对应急响应进行补充和细化。

同样的，我们这一篇文章还是从面试题入手，去解决一些相关的问题。

最后，我想说的是：要把应急响应所有的知识点介绍到位几乎是做不到的，这个需要在学习和工作中去积累。

原稿审核未通过，此文删减部分内容，但对于工作和面时差不多也是够用的。

目录

面试官：

三、服务器受到矿机危害怎么处理？

1. 矿机介绍：

1. 什么是矿机？

2. 什么是比特币挖矿机？

3. 矿机的种类有哪些？

4. 矿机的挖掘方法

5. 矿机有什么消耗和风险

6. 矿机的制造企业

2. 矿机病毒介绍

1. hAnt病毒

概述：

案例：

解决办法：

2. AutoUpdate挖矿病毒

概述：

工作原理：

3. 如何有效检测挖矿行为？

1. 针对办公网或者生产网中存在的挖矿安全隐患

2. 对于无法识别潜在的挖矿外联行为

4. 检测到挖矿行为后，如何精准闭环处置？

1. Linux系统挖矿病毒的处置

2. Windows系统挖矿病毒的处置

四、日志被删除怎么处理？

五、Sality病毒了解吗，知道如何分析和查杀吗？

六、飞客蠕虫了解吗，知道如何分析和查杀吗？

七、Windows环境黑客入侵应急与排查？

八、你有应急工具箱吗，都有哪些工具呢？

九、处理完第二天发现又有同样的异常，你会怎么办呢？

写在最后：

相关连接：

---

面试官： 三、服务器受到矿机危害怎么处理？ 1. 矿机介绍： 1. 什么是矿机？

矿机：说白了就是用于赚钱的电脑。挖矿嘛，可以对比一下生活中煤矿，矿就是钱，家里有钱我们现在也常说他家里有矿，哈哈哈哈。

但我们电脑来挖的矿是虚拟的，通常以比特币的形式出现。

这类电脑一般有专业的挖矿晶元，大多采用烧显卡的方式工作，耗电量较大。

用户用个人电脑下载软件然后运行特定演算法，与远方服务器通讯后可得到相应比特币，是获取比特币的方式之一。

2. 什么是比特币挖矿机？

比特币挖矿机就是用于赚取比特币的计算机。这类计算机一般有专业的挖矿芯片，多采用安装大量显卡的方式工作，耗电量较大。

计算机下载挖矿软件然后运行特定算法，与远方服务器通讯后可得到相应比特币，是获取比特币的方式之一。  

3. 矿机的种类有哪些？

ASIC矿机

ASIC 矿机是指使用 ASIC 芯片作为核心运算零件的矿机。

ASIC 芯片是一种专门为某种特定用途设计的芯片，必须说明的是它并不只用于挖矿，还有更广泛的应用领域。

这种芯片的特点是简单而高效，例如比特币采用 SHA256 算法，那么比特币 ASIC 矿机芯片就被设计为仅能计算 SHA256，所以就挖矿而言，ASIC 矿机芯片的性能超过当前顶级的电脑CPU。

因为ASIC矿机在算力上有绝对的优势，所以电脑、显卡矿机开始逐渐被淘汰。

GPU矿机

GPU 矿机，简单的解释就是通过显卡（GPU）挖矿的数字货币挖矿机。在比特币之后，陆续出现了一些其他数字资产，比如以太坊、达式币、莱特币等等，其中一些币所用的算法与比特币并不相同，为了达到更高的挖矿效率，矿工们做了不同的测试，最后发现 SHA256 算法的数字货币使用 ASIC 挖矿效率最高。

而 Scrypt 等其他算法的数字货币用 GPU 显卡挖矿效率最高，于是催生出了专门的 GPU 矿机。

IPFS矿机

IPFS 类似于 HTTP，是一种文件传输协议。

IPFS 要想运行，需要网络中有许许多多的计算机（存储设备）作为节点，广义的说所有参与的计算机，都可以称作 IPFS 矿机。

而 IPFS 网络为了吸引更多的用户加入成为节点，为网络做贡献，设计了一种名叫 filecoin 的加密货币，根据贡献存储空间与带宽的多少，派发给参与者（节点）作为奖励。

狭义的说，专门以获取 filecoin 奖励为目的而设计的计算机，称为 IPFS 矿机。由于 IPFS 网络需要的是存储空间以及网络带宽，所以为了获得最高的收益比，IPFS矿机通常会强化存储空间、降低整机功耗等方面。

比如装备10块以上大容量硬盘，配备千兆或更高速度的网卡，使用超低功耗的架构处理器等等。

FPGA矿机

FPGA 矿机，既使用 FPGA 芯片作为算力核心的矿机。

FPGA 矿机是早期矿机之一，首次出现在2011年末，在当时一度被看好，但活跃期并不长，后逐渐被ASIC矿机与GPU矿机取代。

FPGA（Field-Programmable Gate Array），中文名叫现场可编程门阵列。比较通俗的理解是，FPGA就是把一大堆逻辑器件（比如或门、与门、非门、选择器）封装在一个盒子里，盒子里的逻辑元件如何连接，全部由使用者（编写程序）来决定。

如果FPGA里面写的是挖矿程序，那么造出来的就是 FPGA 矿机，而且由于 FPGA 灵活度高，所以不只是可以支持比特币的 SHA256 算法，也可以支持 GPU 矿机擅长的 Scrypt 算法。

FPGA矿机活跃的时期，相比同时代的 CPU、GPU 矿机，FPGA 虽然算力性能不占优，但功耗要低很多，综合功耗比很高 。

4. 矿机的挖掘方法

挖矿其实也很简单，但个人认为没必要去挖。个人电脑用于挖矿，你的收益真的微乎其微，但挖着玩一玩还是可以的。

做矿工其实就是用自己的电脑生产，在早期的客户端中还有挖矿这一选项，但已经取消了。

要挖掘也相当简单，可以下载专用的运算工具，然后注册各种合作网站，把注册来的用户名和密码填入计算程序中，再点击运算就正式开挖。 

5. 矿机有什么消耗和风险

1. 电费问题

挖矿程序一旦启动，你的显卡就会处于满载状态，显卡长时间满载，功耗会相当高，电费开支不会低。

挖矿机越来越先进，但烧显卡挖矿是最划算的。

一些矿工表示，照顾机器比照顾人还累，有网友一台挖矿机3个月就用1000多度电，为了挖掘，挖矿机散热厉害，就算是刚洗完的衣服，放在屋里一会儿就干了。

这么高的电费，很有可能把挖赚的钱抵消，甚至变成倒贴，还不算这还不算电脑、服务器的损耗，还有人工费用。

2. 硬体支出

挖矿可以说是性能和装备的竞争，一般来说，矿机是由非常多张显卡组成的，虽然个人电脑也可以，但真的亏。

就是HD6770这样的垃圾卡，组团之后的运算能力还是能够超越大部分用户的单张显卡的。就好比一个成年人和10个小朋友拔河，你说谁会赢呢？

而且这还不是最可怕的，有些挖矿机是更多这样的显卡阵列组成的，数十乃至过百的显卡一起来。就好比一个成年人和100个小朋友拔河。

再说了，虽然算力起来了，但你需要向另一个问题，显卡本身也是要钱的，算上硬体价格等各种成本，挖矿存在相当大的支出，你还想挖矿嘛？

除了烧显卡的机器，一些 ASIC（应用专用集成电路）专业挖矿机也在投入战场，ASIC是专门为Hash运算设计的，性能虽然不一定能秒杀显卡，但是也已经相当强劲，而且由于它们的功耗远比显卡低，因此更容易形成规模，电费开销也更低，单张独显很难与这些挖矿机竞争。而这种机器价格会更加昂贵。

3. 货币安全

支取需要多达数百位的密钥，而多数人会将这一长串的数字记录于电脑上，如果电脑出现问题，如硬碟损坏等问题，就可能让密钥永久丢失，这也导致了的比特币丢失，这就等于白干了，血亏。

粗略估计，丢失的可能达到160多万个。

虽然标榜自己 "防通货膨胀" （比特币是08年经济危机的产物），但是它却容易受到持有大量的大庄家的控制，有贬值的风险，涨跌堪称过山车，大家也可以上股市看一看，真的是惊涛骇浪。

6. 矿机的制造企业

美国蝴蝶实验室：

这家公司以很低的价格出售矿机，但并不给出确定的发货时间。

换句话说，购买者根本在付款之后，仍然无法确定是否能够买到矿机。

但由于买到矿机后很容易回本、赚钱，所以还是有不少人希望自己成为幸运儿，大胆付款预定。

这样的运作模式普遍不被看好，网上有很多不靠谱的厂商，只是偶尔出货一两台矿机。很多人拿到矿机就类似中了彩票。

烤猫采矿公司：

但是烤猫公司只出售少量矿机，这家公司主要向购买者出售公司股份，然后把挖出来的按照持股进行股票分红，同时股票可以自由转让。

Avalon（阿瓦隆）公司：

Avalon在出售了一批矿机之后，已经决定主要专注Avalon晶元的研发和生产。

2013年，中国国内开始有团队组装销售基于Avalon晶元的挖矿机。 

2. 矿机病毒介绍

早在2013年，就有黑客利用病毒，劫持他人电脑隐秘挖矿。但针对大型矿场矿机的攻击，却是再2018年左右才开始出现的。

在2018年8月到10月，问题开始集中爆发。

某些就是利用矿工病毒进行勒索，有些能在半夜，偷偷把一个矿场4000台矿机的挖矿地址，改成黑客的挖矿地址......

挖矿行为不仅仅会导致组织的电脑卡顿、CPU飚满、运维成本暴涨，一些挖矿的主机还可能会被植入病毒，导致组织重要数据泄露，或者黑客利用已经控制的机器，作为继续对内网渗透或攻击其他目标的跳板，导致更严重的网络安全攻击事件等。

矿机病毒的种类很多很多，在这里我查阅了很多资料，列举一些常见的矿机病毒。

1. hAnt病毒 概述：

hAnt 病毒早在 2018 年 8 月，就已经出现过，2019年一月才开始扩散。

由于大多数比特币挖矿机都在中国，所以中国感染情况最为严重。大多数受感染的矿机都是用于比特币采矿的 Antminer S9 和 T9 设备，不过报道称用于获得莱特币 Antminer L3 矿机也出现了感染，此外还有少量 Avalon Miner (也用于采集比特币)设备也出现了感染，不过数量少了很多。

hAnt病毒只要感染了一个采矿设备，病毒就会锁定设备并阻止其采矿。

当用户查看机器时，会出现一个蚂蚁图案，随后屏幕会显示一串文字，大意是受感染者帮忙感染所有或者支付赎金，否则病毒就会关闭采矿设备的风扇及过热保护，导致设备遭到破坏。对此，专家表示 hAnt 病毒理论上是可能滥用 Antminer 固件中的超频功能来过热和危害设备的。

其实早在 2018 年，Antminer 矿机公司就曾发布过安全警报，警告用户不要安装从其他网站下载的固件，值得注意的是，当时矿机公司发出的这个警报不仅仅是对于 Antminer 设备，它包括了所有类型采矿设备。

案例：

2019年1月5日晚，cC矿场的比特大陆矿机管理界面，突然变成了一张绿色的图片。图片中间是只蚂蚁，两边分别有一把矿工镐。这个病毒就是 hAnt。很显然，病毒的目标，是比特大陆的蚂蚁矿机。

黑客用中英两种语言留言告诉矿工，要免于被攻击，只有两个办法：

1. 将病毒以固件补丁的方式，传染给其他矿场的至少1000台机器；

2. 给黑客打10个比特币。

如果不这样就将关闭蚂蚁矿机的风扇和过热保护，“烧毁你的矿机甚至房子”。

解决办法：

第一个解决办法，是刷矿机的SD卡，即固件。

说白了就是给矿机换一个新的 *** 作软件，这是解决问题最直接的方式。

缺点：一台台刷机，很花时间

第二个解决办法，换掉矿机的字节库，甚至控制板。

如果刷SD卡无效，可以使用这个办法

实在不行，就把矿机卖了

2. AutoUpdate挖矿病毒 概述：

2021年7月，深信服安全团队已经成功捕获到一款主流的挖矿病毒样本，并对其工作原理进行了揭秘。详细内容可点击查看：《支持双系统挖矿，警惕新型AutoUpdate挖矿病毒入侵》

工作原理：

1. 通过钓鱼邮件、恶意站点、软件捆绑下载等方式诱导用户点击其恶意脚本程序。

2. 在用户点击启动恶意脚本loader.sh后，该脚本将清除安全软件，下载启动程(kworker)。

3. Kworker 程序检查并更新各功能组件，以及启动挖矿程序 dbus、攻击程序 autoUpdate、隐藏脚本 hideproc.sh、攻击脚本 sshkey.sh。

4. autoUpdate程序扫描并攻击所在网段的 Struts2、Shiro、Mssql、Postgres、Redis、Dubbo、Smb 和 SSH 等组件、服务或协议漏洞，以及国内用户常用的泛微 OA 、致远 OA、通达 OA、phpcms、discuz 等服务，并利用相关漏洞写入计划任务并执行。

5. 通过 hideproc.sh 脚本隐藏进程，防止被用户发现。

6. 通过 sshkey.sh 脚本尝试从 bash_history、etc/hosts、ssh/kownhost 及进程已有连接中提取该终端连接过的终端，如果可以成功连接则下载并启动脚本 loader.sh，达到传播目的。

7. 挖矿程序 dbus 在受害者的设备上悄悄运行以便挖掘加密货币，同时将中毒设备上连接到一个矿池，为欺诈者获取未经授权的“免费”计算能力，欺诈者直接将"免费算力"挣来的加密货币放入自己的钱包。

3. 如何有效检测挖矿行为？

防火墙结合AI+规则库

1. 针对办公网或者生产网中存在的挖矿安全隐患

例如：深信服下一代防火墙AF，通过AF本地具备的 130 万僵尸网络特征库，结合深信服云端威胁情报，以恶意URL和C&C IP地址对比的方式来监测失陷主机的非法外联行为。

2. 对于无法识别潜在的挖矿外联行为

例如：通过深信服下一代防火墙AF云端NTA检测引擎，结合AI技术与规则的闭环迭代技术，不仅能检测出不可读的随机字符构成的域名，还能检测出使用单词拼接方式仿造正常域名的恶意域名，快速识别异常外联流量，定位组织网络中的挖矿主机。

4. 检测到挖矿行为后，如何精准闭环处置？

终端检测响应平台+挖矿处置专项安全服务

例如：深信服终端检测响应平台EDR，一旦在用户网络中发现挖矿病毒，深信服建议用户在网络中部署终端检测响应平台EDR，通过结合深信服挖矿处置专项安全服务，以“工具+服务”的方式实现全网挖矿病毒处置工作。

挖矿病毒的处置主要包括Linux系统与Windows系统的处置：

1. Linux系统挖矿病毒的处置

通过定时任务/服务的清除、特定文件的删除、文件中特定内容的删除、目录的删除、指定文件的恢复、病毒进程文件处置、病毒文件删除等处置动作，彻底清除用户网络中的挖矿病毒。

2. Windows系统挖矿病毒的处置

通过进程内存处置、自启动目录文件删除、自启动配件文件的清除/修改，注册表项的清除/修改，计划任务删除、账号删除、WMI自启动删除、文件的删除和恢复等处置动作，彻底清除用户网络中的挖矿病毒。

四、日志被删除怎么处理？ 五、Sality病毒了解吗，知道如何分析和查杀吗？ 六、飞客蠕虫了解吗，知道如何分析和查杀吗？ 七、Windows环境黑客入侵应急与排查？ 八、你有应急工具箱吗，都有哪些工具呢？

九、处理完第二天发现又有同样的异常，你会怎么办呢？

相关连接：

系列文章：

[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)

[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(二)

[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(三)

参考链接：

(5条消息) 每小时2000元！在病毒面前，矿机如裸奔一般“掉血”_区块链大本营-CSDN博客

比特币矿机出现勒索病毒 要么帮忙感染要么支付高额赎金 (baidu.com)

比特币挖矿机_百度百科 (baidu.com)

虚拟货币_百度百科 (baidu.com)

虚拟币_百度百科 (baidu.com)

矿机_百度百科 (baidu.com)

[原创]关于双系统挖矿，新型AutoUpdate挖矿病毒的分析与讨论-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com

幽灵病毒hAnt肆虐矿场，矿工每小时损失2000元 - 安全内参 | 决策者的网络安全知识库 (secrss.com)

全面​​​​​​清理整顿挖矿病毒，如何防止被通报？深信服挖矿病毒防护解决方案出炉 (chinaz.com)

想要解决矿场网络难题？你需要做到这四点 (baidu.com)