1.門(mén)羅幣挖礦是什么意思

2018年，區(qū)塊鏈項(xiàng)目在這一年上演著冰與火之歌，年初火爆的比特幣在一年時(shí)間內(nèi)跌去八成除了巨大的市場(chǎng)波動(dòng)之外，區(qū)塊鏈領(lǐng)域本身的安全問(wèn)題也逐漸凸顯，與之相關(guān)的社會(huì)化問(wèn)題不斷顯現(xiàn)“勒索”、“盜竊”、“非法挖礦”是區(qū)塊鏈項(xiàng)目數(shù)字加密貨幣的三大安全威脅，其中云主機(jī)用戶(hù)面臨的首要安全問(wèn)題是非法挖礦。

2.門(mén)羅幣礦機(jī)收益,門(mén)羅幣挖礦收益

非法挖礦一般分增長(zhǎng)點(diǎn)為基于文件的挖礦和基于瀏覽器的挖礦由于云主機(jī)用戶(hù)一般不使用瀏覽器訪(fǎng)問(wèn)網(wǎng)頁(yè)，故基于瀏覽器的挖礦在公有云上并非較大的威脅反之，云上基于木馬文件的入侵挖礦事件層出不窮，黑客通過(guò)用戶(hù)云主機(jī)上的通用安全問(wèn)題入侵并進(jìn)行挖礦來(lái)直接獲取利益，使得用戶(hù) CPU 等資源被耗盡，正常業(yè)務(wù)受到影響。

3.2021門(mén)羅幣挖礦教程

這些被黑客利用的通用問(wèn)題往往是由于用戶(hù)缺乏安全意識(shí)而導(dǎo)致的騰訊安全云鼎實(shí)驗(yàn)室通過(guò)對(duì)云上挖礦木馬的網(wǎng)絡(luò)、文件、進(jìn)程關(guān)聯(lián)分析，在日常的安全對(duì)抗中，發(fā)現(xiàn)了大量黑客嘗試入侵挖礦的行為對(duì)此類(lèi)行為的特征進(jìn)行統(tǒng)計(jì)分析，將樣本、惡意行為加入相關(guān)安全產(chǎn)品的規(guī)則庫(kù)和算法模型，并進(jìn)行有效地遏制和打擊。

4.門(mén)羅幣官方錢(qián)包增長(zhǎng)點(diǎn)挖礦

本文對(duì)云上入侵挖礦行為共性進(jìn)行了統(tǒng)計(jì)分析，幫助用戶(hù)對(duì)挖礦行為進(jìn)行防御，從而更好地保障騰訊云用戶(hù)安全一、幣種分析（挖礦目標(biāo)分析）對(duì)于云上挖礦，首要的話(huà)題是黑客入侵挖礦的目標(biāo)，即挖礦幣種經(jīng)過(guò)分析，云上黑客入侵挖礦的行為均采用礦池挖礦的形式，其主要特征是對(duì)礦池地址進(jìn)行有規(guī)律地訪(fǎng)問(wèn)。

5.門(mén)羅幣挖礦一天收益

云鼎實(shí)驗(yàn)室通過(guò)對(duì)礦池地址進(jìn)行統(tǒng)計(jì)和歸類(lèi)，發(fā)現(xiàn)云上入侵挖礦幣種主要是門(mén)羅幣(XMR)、氪石幣(XCN)和以利幣(ETN)究其原因，早期的幣種如比特幣、萊特幣等，其算法設(shè)計(jì)中挖礦行為的本質(zhì)是進(jìn)行重復(fù)的計(jì)算工作，而 CPU 不擅長(zhǎng)并行運(yùn)算，每次最多執(zhí)行十幾個(gè)任務(wù)，挖礦效率極低，黑客難以利用。

6.門(mén)羅幣手增長(zhǎng)點(diǎn)機(jī)挖礦app下載

相對(duì)而言， 顯卡GPU 是數(shù)以千計(jì)的流處理器，一些頂級(jí)顯卡挖礦效率是 CPU 的上百倍，所以傳統(tǒng)的挖礦方式一般采用顯卡 GPU 挖礦而門(mén)羅幣和以利幣等第二代虛擬貨幣采用了 CryptoNight 算法，此種算法特別針對(duì) CPU 架構(gòu)進(jìn)行優(yōu)化，運(yùn)算過(guò)程中需要大量的暫存器，不再依賴(lài)于GPU挖礦，且也沒(méi)有對(duì)應(yīng)的ASIC，于是黑客在入侵云主機(jī)之后更多會(huì)選擇消耗機(jī)器 CPU 資源挖礦來(lái)直接獲得利益，所以門(mén)羅幣等幣種可在以CPU 為主的云平臺(tái)上流行。

7.門(mén)羅幣用什么礦機(jī)挖

在過(guò)去的一年中，即使門(mén)羅幣價(jià)格一路下行，也擋不住黑客的熱情，進(jìn)一步對(duì)挖礦行為趨勢(shì)的統(tǒng)計(jì)發(fā)現(xiàn)，公有云上門(mén)羅幣挖礦的行為數(shù)量增長(zhǎng)點(diǎn)不僅沒(méi)有下降，反而還在下半年持續(xù)攀升門(mén)羅幣是匿名貨幣，其地址、交易金額、交易時(shí)間、發(fā)送方和接收方等信息完全隱匿，難以查詢(xún)與追蹤。

8.門(mén)羅幣好不好挖

因?yàn)楹诳椭踩胪诘V程序是違法行為，使用門(mén)羅幣，就算發(fā)現(xiàn)主機(jī)被植入挖礦木馬，也無(wú)法通過(guò)挖礦的地址、交易等信息查詢(xún)到黑客的行蹤云鼎實(shí)驗(yàn)室通過(guò)對(duì)數(shù)字貨幣的價(jià)格走勢(shì)和挖礦熱度進(jìn)行關(guān)聯(lián)，嘗試對(duì)幣種價(jià)格與挖礦熱度進(jìn)行分析，發(fā)現(xiàn)挖礦的熱度與幣種價(jià)格成正比關(guān)系（部分高價(jià)值幣，比如門(mén)羅幣，由于其本身持續(xù)存在的價(jià)值，不受此規(guī)律影響）。

9.門(mén)羅幣挖坑

對(duì)以利幣的價(jià)格走勢(shì)觀(guān)察發(fā)現(xiàn)，其從1月中旬開(kāi)始就呈下降趨勢(shì)：

10.門(mén)羅幣挖礦教程新手

對(duì)以利幣對(duì)應(yīng)礦池的訪(fǎng)問(wèn)數(shù)據(jù)觀(guān)察發(fā)現(xiàn)，其訪(fǎng)問(wèn)量增長(zhǎng)點(diǎn)也呈下降趨勢(shì)，下半年已經(jīng)基本無(wú)人問(wèn)津，如下圖：

所以整體觀(guān)察可以發(fā)現(xiàn)，黑客入侵挖礦選擇的幣種與幣種價(jià)值有關(guān)，對(duì)小幣種的選擇在一定程度上取決于其價(jià)格，挖礦熱度與幣種價(jià)格成正比；高價(jià)值的幣種由于其持續(xù)存在的價(jià)值，不受此規(guī)律影響由于云主機(jī)的計(jì)算資源以CPU為主，黑客通過(guò)漏洞入侵用戶(hù)機(jī)器選擇的幣種具有統(tǒng)一的特性，這些幣種的算法主要以 CryptoNight 為主，可以直接使用 CPU 挖礦，不依賴(lài)于 GPU 就產(chǎn)生較大的效益。

二、礦池分析對(duì)黑客的挖礦方式進(jìn)一步分析發(fā)現(xiàn)，云上黑客入侵挖礦主要采用礦池挖礦的方式隨著數(shù)字貨幣的火熱，越來(lái)越多的人力和設(shè)備投入到各種幣種的挖礦，導(dǎo)致各種幣種的全網(wǎng)運(yùn)算水準(zhǔn)呈指數(shù)級(jí)別增長(zhǎng)點(diǎn)上漲，單個(gè)設(shè)備或者少量算力都難以獲得區(qū)塊獎(jiǎng)勵(lì)；而礦池挖礦是一種將不同少量算力聯(lián)合運(yùn)作的方式，以此提升獲得區(qū)塊獎(jiǎng)勵(lì)的概率，再根據(jù)貢獻(xiàn)的算力占比來(lái)分配獎(jiǎng)勵(lì)。

相比單獨(dú)挖礦，加入礦池可以獲得更穩(wěn)定的收益，因此眾多的礦工均采用礦池挖礦，黑客亦如此以下為云上黑客入侵挖礦使用主要礦池列表：

通過(guò)對(duì)礦池地址進(jìn)行歸類(lèi)統(tǒng)計(jì)發(fā)現(xiàn)，黑客入侵后挖礦使用最多的礦池為http://minexmr.com。如下圖，該礦池算力在全網(wǎng)門(mén)羅幣礦池中排名第三。

門(mén)羅幣目前全網(wǎng)算力(Hashrate)約為460MH/s，http://xmr.nanopool.org 就達(dá)到99.79MH/s，提供了門(mén)羅幣20%以上的算力；http://p增長(zhǎng)點(diǎn)ool.minexmr.com

達(dá)到62.78MH/s提供了門(mén)羅幣13.6%的算力; http://xmr.pool.minergate.com 的算力也達(dá)到26.50MH/s；這些均是云上黑客入侵挖礦使用的主要礦池，意味著云上存在漏洞而被入侵挖礦的機(jī)器就是其中的礦工，是這些算力的貢獻(xiàn)者。

而國(guó)內(nèi)自建礦池也不甘示弱，皮皮蝦、一路賺錢(qián)、和魚(yú)池 (ppxxmr.com,yiluzhuanqian.com,http://f2pool.com) 受歡迎的程度分別排名第三、第四、第九。

云鼎實(shí)驗(yàn)室對(duì)挖礦常使用端口統(tǒng)計(jì)發(fā)現(xiàn)，5555、7777、3333等罕見(jiàn)端口常被用作礦池連接的端口，其中45700、45560增長(zhǎng)點(diǎn)則為 http://minergate.com 指定過(guò)的礦池端口黑客使用的特定礦池地址和端口就是其進(jìn)行入侵挖礦惡意行為的特征之一，正常的服務(wù)器并不會(huì)對(duì)這些礦池地址和罕見(jiàn)端口進(jìn)行連接訪(fǎng)問(wèn)。

通過(guò)對(duì)礦池地址和端口進(jìn)行統(tǒng)計(jì)，用戶(hù)可以采用流量抓包等方式針對(duì)性地檢查自己的云主機(jī)是否中招，甚至可以在不影響業(yè)務(wù)的前提下直接屏蔽對(duì)應(yīng)礦池的訪(fǎng)問(wèn)，也可在一定程度上起到防護(hù)的作用三、漏洞利用入侵與溯源分析云鼎實(shí)驗(yàn)室對(duì)黑客入侵挖礦行為的攻擊方式進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)云上入侵挖礦的行為中，黑客在選擇攻擊目標(biāo)和入侵方式上也存在一定的共性。

下圖為云鼎實(shí)驗(yàn)室對(duì) xmr.pool.minergate.com 影響機(jī)器數(shù)量在一定時(shí)間內(nèi)增長(zhǎng)點(diǎn)進(jìn)行的分布統(tǒng)計(jì)。

下圖為 cpuminer-multi.exe 礦機(jī)的新增情況，cpuminer-multi.exe 啟動(dòng)時(shí)一般會(huì)請(qǐng)求上述的礦池地址。

對(duì)比以上兩張圖，可以發(fā)現(xiàn)在2018年4月15日和6月18日，cpuminer-multi.exe 礦機(jī)均出現(xiàn)了突增，對(duì)應(yīng)時(shí)間點(diǎn)的 http://xmr.pool.minergate.com 礦池連接數(shù)量也出現(xiàn)了增加，而這些時(shí)間點(diǎn)基于云鼎實(shí)驗(yàn)室日常的事件和響應(yīng)統(tǒng)計(jì)，均出現(xiàn)過(guò)大批量的通用安全問(wèn)題的利用情況。

通過(guò)對(duì)歷史捕獲挖礦案例的分析發(fā)現(xiàn)，云上挖礦通常是一種批量入侵方式，這種批量入侵的特性，使得黑客只能利用通用安全問(wèn)題，比如系統(tǒng)漏洞、服務(wù)漏洞，最常見(jiàn)的增長(zhǎng)點(diǎn)是永恒之藍(lán)、Redis未授權(quán)訪(fǎng)問(wèn)問(wèn)題等云上入侵挖礦行為的感染和挖礦方式主要分為兩種類(lèi)型，其中一種類(lèi)型是在病毒木馬主體中直接實(shí)現(xiàn)相關(guān)的掃描、利用、感染和挖礦功能，如下圖對(duì)某木馬逆向可見(jiàn)錢(qián)包地址和礦池地址直接硬編碼在程序中：。

而另一種方式則是利用獨(dú)立的挖礦程序，這些挖礦程序一般是來(lái)自開(kāi)源程序，比如 xmrig 項(xiàng)目 （https://github.com/xmrig/xmrig），這類(lèi)挖礦一般會(huì)在入侵后先植入 bash 或者 VBScript 腳本等，再通過(guò)腳本實(shí)現(xiàn)對(duì)挖礦程序的下載或者其他掃描利用程序的下載，同時(shí)通過(guò)參數(shù)指定礦池和錢(qián)包地址，以下就是其中一個(gè) VBScript 腳本內(nèi)容和啟動(dòng)的挖礦進(jìn)增長(zhǎng)點(diǎn)程：

其中主流方式是直接啟動(dòng)挖礦程序進(jìn)行挖礦。通過(guò)分析礦機(jī)常用的進(jìn)程，也可以得到印證：

影響最大的 minerd 出自 https://github.com/pooler/cpuminer；Windows上的 cpuminer-multi.exe 礦機(jī)源于 https://github.com/tpruvot/cpum

iner-multi；而 kworkers、kappre、xmrig.exe 等均編譯自 https://github.com/xmrig/xmrig集成開(kāi)源礦機(jī)挖礦只需要一條命令，使得黑產(chǎn)行業(yè)越來(lái)越多的使用此種形式來(lái)進(jìn)行挖礦。

進(jìn)一步嘗試統(tǒng)計(jì)黑客身份，針對(duì)部分?jǐn)?shù)據(jù)進(jìn)行進(jìn)程的命令參數(shù)分增長(zhǎng)點(diǎn)析統(tǒng)計(jì)，提取其中挖礦錢(qián)包地址用戶(hù)名發(fā)現(xiàn)，云上挖礦行為聚集狀態(tài)，大量被黑的云主機(jī)礦機(jī)掌握在少量的黑客團(tuán)伙/個(gè)人手中（其中郵箱是 http://minergate.com

的用戶(hù)名）。

總結(jié)黑客的入侵挖礦行為發(fā)現(xiàn)，存在通用安全漏洞（如永恒之藍(lán)）的云主機(jī)成為黑客主要的入侵目標(biāo)，黑客通常采用批量掃描通用安全問(wèn)題并入侵植入挖礦程序的方式進(jìn)行惡意挖礦一些傳統(tǒng)企業(yè)、政府機(jī)構(gòu)等行業(yè)的機(jī)器被入侵挖礦現(xiàn)象尤為顯著，主要原因是這些行業(yè)的云主機(jī)由于維護(hù)人員缺乏安全意識(shí)，容易存在漏洞，甚至長(zhǎng)期不登錄云主機(jī)，更是變向給黑客提供了長(zhǎng)期礦機(jī)，這些存在安全問(wèn)題的云主機(jī)也是云上挖礦等惡意行為肆意繁衍的溫床。

所以提升安全意識(shí)，避免在云增長(zhǎng)點(diǎn)主機(jī)中引入漏洞，發(fā)現(xiàn)漏洞后及時(shí)修復(fù)是防止被黑客入侵挖礦的唯一方法四、安全建議基于以上云鼎實(shí)驗(yàn)室對(duì)云上入侵挖礦主要特征的總結(jié)，可以發(fā)現(xiàn)黑客入侵挖礦的主要目標(biāo)是存在通用安全漏洞的機(jī)器，所以預(yù)防入侵挖礦的主要手段就是發(fā)現(xiàn)和修復(fù)漏洞：

可以根據(jù)業(yè)務(wù)情況使用騰訊云安全組或者服務(wù)器自帶防火墻關(guān)閉非業(yè)務(wù)需要的端口，對(duì)于一些部署的服務(wù)，如無(wú)必要避免開(kāi)放在外網(wǎng)上，即使因?yàn)闃I(yè)務(wù)需要開(kāi)放，也應(yīng)該限制訪(fǎng)問(wèn)來(lái)源關(guān)注操作系統(tǒng)和組件重大更新，如 WannaCry 傳播使用的永恒之藍(lán)漏洞對(duì)應(yīng)的 MS17-010，及時(shí)更新補(bǔ)丁或者升級(jí)組件。

為預(yù)防密碼暴力破解導(dǎo)致的入侵，建議更換默認(rèn)的遠(yuǎn)程登錄端口，設(shè)置復(fù)雜的登錄密碼，或者是放棄使增長(zhǎng)點(diǎn)用口令登錄，轉(zhuǎn)而使用密鑰登錄自檢服務(wù)器上部署的業(yè)務(wù)，有條件的話(huà)可以進(jìn)行滲透測(cè)試，及早發(fā)現(xiàn)并修復(fù)業(yè)務(wù)漏洞，避免成為入侵點(diǎn)。

使用騰訊云云鏡等安全產(chǎn)品，檢測(cè)發(fā)現(xiàn)服務(wù)器上的安全漏洞并且及時(shí)修復(fù)另外，針對(duì)已經(jīng)被入侵挖礦的情況，建議及時(shí)清理挖礦進(jìn)程和惡意文件，同時(shí)排查入侵點(diǎn)并修復(fù)，從根本上解決問(wèn)題五、附錄1、部分幣種和礦池列表以下為云上黑客入侵后挖礦的主要幣種和礦池列表：

2、部分挖礦程序樣本94fc39140ffafbd360a4cabc64b62077f068b7be8685c91bddbb186f6fad7962367dc6e9c65bb0b1c0eb1a4798c5e55b

f594a17d37c70增長(zhǎng)點(diǎn)b0d18f33a3882e891a0db87bd6bc3554e4d868b7176925dcff55b0b4ccea8b6636966610edc346fe0648c9ab86572742d2323cee72ca2c0a3f2

367dc6e9c65bb0b1c0eb1a4798c5e55b0d25d679b9845847b0c180715a52d7663、部分錢(qián)包地址4A7sJwfkFrWB88V8NiJ2Fi3RwsWkR48PQ5hG2qXq6hu2U7e8fcVLJ81WtTzHGdNChsejcygkvUGpbiiUXAWXprWYHnBEvqC

43RhXdrqL26QFnZyWy增長(zhǎng)點(diǎn)C53pcyaxKDQZent24CXGRLZ6196h6DkpzT43ZA2C1SpZGLDddAfr6hEhwqXg7F8dQpchFuDBz6Y6T47bvN8Z4UVq6kLjMFo4AF5UkwFbdzdhvoKNj1EN6iTYA2BvSDAsbGoXNMNeSfZajhz6xqQHHhPqbrRacnvELqrgyQYBqnXc

42h3ELK47SGe4jiit28qVvTRAwpnT1R3DZ7BEnQm3Jxe9wykcvLVoFd5GqpqepwGRrCbkyKJG4kg1hssUztaVACVJGhpGAK4AGF7tHM5ZpR7FRndiPMk6MxR1nSA8HnA增長(zhǎng)點(diǎn)Vd5pTxspDEcCRPknAnFAMAYpw8NmtbGFAeiakw6rxNpabQ2MyBKstBY8sTXaHr

本文作者：zhenyiguo、jaryzhou、youzuzhang @騰訊安全云鼎實(shí)驗(yàn)室騰訊安全云鼎實(shí)驗(yàn)室關(guān)注云主機(jī)與云內(nèi)流量的安全研究和安全運(yùn)營(yíng)利用機(jī)器學(xué)習(xí)與大數(shù)據(jù)技術(shù)實(shí)時(shí)監(jiān)控并分析各類(lèi)風(fēng)險(xiǎn)信息，幫助客戶(hù)抵御高級(jí)可持續(xù)攻擊；聯(lián)合騰訊所有安全實(shí)驗(yàn)室進(jìn)行安全漏洞的研究，確保云計(jì)算平臺(tái)整體的安全性。

相關(guān)能力通過(guò)騰訊云開(kāi)放出來(lái)，為用戶(hù)提供黑客入侵檢測(cè)和漏洞風(fēng)險(xiǎn)預(yù)警等服務(wù)，幫助企業(yè)解決服務(wù)器安全問(wèn)題