肉雞挖礦代碼

㈠ 寬頻雞肉什麼意思

所謂寬頻肉雞，就是擁有管理許可權的遠程電腦。也就是受別人控制的遠程電腦。肉雞可以是各種系統,如win,linux,unix等；更可以是一家公司\企業\學校甚至是政府軍隊的伺服器，一般所說的肉雞是一台開了3389埠的Win2K系統的伺服器,所以3389埠沒必要開時關上最好。
電腦肉雞的用途:誰也不希望自己的電腦被人控制，但是很多人的電腦是幾乎不設防的，很容易被遠程攻擊者完全控制。你的電腦就因此成為別人砧板上的肉，別人想怎麼吃就怎麼吃，肉雞（機）一名由此而來。為什麼攻擊者熱衷於獲得他人電腦的控制權呢？控制別人的電腦，有什麼用？他也搬不走，不還在我家裡放著么。很多對電腦安全一無所知的人這樣看。本文試圖用簡單的描述，解釋「肉雞」的「商業價值」，了解這些，你就知道，一個陌生人的電腦對攻擊者有多少誘惑。1.盜竊「肉雞」電腦的虛擬財產虛擬財產有：網路游戲ID帳號裝備、QQ號里的Q幣、聯眾的虛擬榮譽值等等。虛擬財產，是可以兌現為真實貨幣的，多少不限，積累起來就是財富。2.盜竊「肉雞」電腦里的真實財產真實財產包括：網上銀行，大眾版可以進行小額支付，一旦你的網銀帳號被盜，最多見的就是要為別人的消費買單了。此外，還有網上炒股，證券大盜之類的木馬不少，攻擊者可以輕易獲得網上炒股的帳號，和銀行交易不同的是，攻擊者不能利用偷來的炒股帳號直接獲益，這是由股票交易的特殊性決定的。不然，網上炒股一定會成為股民的噩夢。相當多的普通電腦用戶不敢使用網上銀行，原因就是不了解該怎樣保護網上銀行的帳號安全。事實上，網上銀行的安全性比網上炒股強很多。正確使用網上銀行，安全性和便利性都是有保障的。3.盜竊他人的隱私數據陳冠希事件，相信大家都知道，如果普通人的隱密照片、文檔被發布在互聯網上，後果將會十分嚴重。利用偷來的受害人隱私信息進行詐騙、勒索的案例不少。還有攻擊者熱衷於遠程式控制制別人的攝像頭，滿足偷窺他人隱私的邪惡目的。如果偷到受害人電腦上的商業信息，比如財務報表、人事檔案，攻擊者都可以謀取非法利益。4.可利用受害人的人脈關系獲取非法利益你或許認為你的QQ號無足輕重，也沒QQ秀，也沒Q幣。實際上並非如此，你的QQ好友，你的Email聯系人，手機聯系人，都是攻擊者的目標，攻擊者可以偽裝成你的身份進行各種不法活動，每個人的人脈關系都是有商業價值的。最常見的例子就是12590利用偷來的QQ號群發垃圾消息騙錢，還有MSN病毒，自動給你的聯系人發消息騙取非法利益。5.在肉雞電腦上種植流氓軟體，自動點擊廣告獲利這種情況下，會影響你的上網體驗，相信所有人都很討厭電腦自動彈出的廣告。攻擊者在控制大量肉雞之後，可以通過強行彈出廣告，從廣告主那裡收獲廣告費，流氓軟體泛濫的原因之一，就是很多企業購買流氓軟體開發者的廣告。還有的攻擊者，通過肉雞電腦在後台偷偷點擊廣告獲利，當然，受損的就是肉雞電腦了。6.以肉雞電腦為跳板（代理伺服器）對其它電腦發起攻擊黑客的任何攻擊行為都可能留下痕跡，為了更好的隱藏自己，必然要經過多次代理的跳轉，肉雞電腦充當了中介和替罪羊。攻擊者為傳播更多的木馬，也許會把你的電腦當做木馬下載站。網速快，機器性能好的電腦被用作代理伺服器的可能性更大。7.「肉雞」電腦是發起DDoS攻擊的馬前卒DDoS，你可以理解為網路黑幫或網路戰爭，戰爭的發起者是可以獲取收益的，有人會收購這些網路打手。這些網路黑幫成員，也可以直接對目標主機進行攻擊，然後敲詐勒索。「肉雞」電腦，就是這些網路黑幫手裡的一個棋子，DDoS攻擊行為已經是網路毒瘤。總之，「肉雞」電腦是攻擊者致富的源泉，在攻擊者的圈子裡，」肉雞「電腦就象白菜一樣被賣來賣去。在黑色產業鏈的高端，這些龐大」肉雞「電腦群的控制者構築了一個同樣龐大又黑暗的木馬帝國。電腦肉雞的價格:在「圈裡」，被控制的電腦被稱為「肉雞」，它最大的特點是可以被任意窺視和使用，甚至被買賣控制權。在國內，「肉雞」的價格在1毛到1塊不等。金山毒霸事業部副總經理王欣曾根據下載網站「灰鴿子」工作室的瀏覽量做過復雜推算，「每天可能有超過6000人使用這一程序，保守估計他們一人控制10台電腦，一年間，曾被控制過的電腦超過2000萬」。而據資深黑客介紹，根據「肉雞」的不同價格，每筆交易的價格在100元至上千元不等，資深商販一個月內可以抓到10萬台電腦，並以此換取萬元收入。

㈡ 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。

㈢ 什麼叫肉雞挖掘雞是做什麼的

肉雞就是具有最高管理許可權的遠程電腦。簡單的說就是受你控制的遠程電腦。肉雞可以是win、Unix/Linux……等各種系統；肉雞可以是一家公司的伺服器，一家網站的伺服器，甚至是美國白宮或軍方的電腦，只要你有這本事入侵並控制他，呵呵。萊鳥所說用的肉雞一般是開了3389埠的Win2K系統的伺服器。
要登陸肉雞，必須知道3個參數：遠程電腦的IP、用戶名、密碼。

有許多人問我這樣一個問題就是：什麼是肉雞！其實我也說不好是什麼意思！個人認為肉雞就是你可以控制的一台電腦！無論通過什麼方式！
對於肉雞！我建議大家先學習4899的肉雞！先介紹一下4899！4899是一種國外的遠程式控制制軟體所開的默認埠！（那埠是什麼呢？我的理解是埠的作用就是把好多計算機向你發來的信息分別從不同的管道給你！每個管道就是一個埠！並有標號！並且有的標號和一類信息是對應的！比如：從25的管道（埠）傳來的信息就對應著郵件類！從80管道傳來的信息就是網頁信息！還有的就沒有的不常用的信息，就臨時開一個任意（在大於1024埠！1024之前是是一些一一對應的管道！）管道來接受信息！所以埠的作用就是通過不同的埠接受不同的來接受數據包！不知道大家明白沒有！還不明白就自己查資料啊！如果我說的有錯誤！請盡快和我說啊！）該軟體叫Radmin！分兩部分！控制端和服務端！有很多服務功能！如：通過遠程圖形控制！（就象操作自己的計算機一樣操作對方的計算機！）Telnet功能，telnet是的遠程登陸等功能！是在命令下實現的！你可以簡單認為是遠程操作對方的dos窗口！（其實我就是這么認為的！呵呵）上傳下載文件的功能！這個功能大家很明白！就是可以在你和對方計算機之間互相傳送文件！還有其他功能，等等！我做了個動畫！其實這個軟體不是大家所認為的木馬！（之所以不是木馬！因為其功能都不符合木馬的要求！）只是一個普通的遠程式控制制的工具！一些用戶用該軟體遠程管理自己的機器！可以從公司的電腦直接到加里的電腦取文件！或者放文件！管理機器等等！但是不知道為什麼！有的用戶卻不知道為什麼不給客戶端設置密碼！這樣我們就有了可乘之機！我們可以用特定工具掃描開4899的機器！（4899這個是Radmin的特徵！呵呵！）然後用客戶端進行連接！該軟體唯一確認你身份的東西就是連接時需要密碼！而有的用戶卻沒有設置！所以！我們就可以進入其計算機，並做軟體所提供的功能操作！（就是我上面所說的！和一些沒有說的！）關於4899的肉雞，從掃描--到利用，我做了個動畫！（動畫在菜鳥帝國里有下載！叫:4899的應用,地址:http://fhbandsyg.w5.51web.cn/down_view.asp?id=347還有毛毛做的4899的動畫也要看看!站上也有的!自己艘艘把!）大家可以看看！然後自己再照著畫瓢！
說完了4899在說說20168，這個是一種叫愛情病毒所開的超級後門埠！如果你中了該病毒，病毒就會在你的機器里開一個20168的埠，使其他人可以通過telnet服務，用命令telnet 你的機器的ip 20168（所有所所的命令都是在dos中鍵入的！win98的是dos而2000的是命令提示符！）來連接上你的電腦，並且連接後許可權很大！可以進行任何級別的命令操作！所以，如果你的機器開了這個埠請你趕快用殺毒軟體把他殺掉！不然遇到可惡的入侵者，你的機器可就遭殃了！而從入侵的角度來看！我們就可以用埠掃描工具（如：Port Ready）去掃開20168的機器！然後telnet上去！就可以輕松得到一台機器的shell（shell：簡單認為就是一個可以操作遠程計算機的dos命令窗口！）並可以進行一切許可權的操作！大家可以試試！不過該病毒是個老病毒了！所以可能掃描現在不到了，而且病毒作者只允許利用該埠一次！所以...........但是大家要知道！有很多病毒我們是可以利用的！比如：益出！一場大范圍的病毒侵襲後，一般會有高手根據病毒寫出相應的益出程序！（什麼是益出呢？我那緩沖區益出給大家舉例！如果你向一個只能容納20毫升的杯子里倒入30毫升的牛奶會出現什麼情況呢？呵呵！一定就會有10毫升流出了杯子！把這個例子用在緩沖區益出里就是你向計算機「倒入」「30毫升」的數據！而緩沖區只能處理「20毫升」那「10毫升」到那裡去了呢？呵呵！可不是象牛奶一樣浪費了！，而是把一些別的合法數據給覆蓋了！這樣如果這「10毫升」數據是一些病毒代碼，或者黑客程序，呵呵！後果就可想而知了.............）使我們這些菜鳥可以通過這些程序輕而易舉的拿到對中病毒計算機的shell！當然不僅病毒可以益出！微軟的很多漏洞都是可以的！所以大家要關注微軟的漏洞報告！以便得到新鮮的肉雞！呵呵！
上面說的一些簡單的獲得肉雞的方法！有4899空密碼的！病毒開的後門的20168！還有利用漏洞益出的！等等！大家還可能說你怎麼不說3389啊！呵呵！是要說說！其實3389是微軟提供的遠程桌面的服務，英文名字叫「Term Server」所開的埠（埠可以更改）。通過客戶端（連接軟體），用戶帳號來進行圖形操作遠程的計算機！是windows自帶的服務！但不是每個操作系統都有的！win2000的server和2003版本的有還有xp系統的有！而win2000個人板是沒有該服務的！通常所說的3389肉雞是對方開了此服務！並且你有對方的登陸帳號！（注意：帳號許可權必須是adm許可權！）可以登陸對方計算機進行操作的！所以只要掃開3389埠的機器就可以基本判斷哪個計算機開了該服務！然後獲得登陸帳號就可以了！但是！！！帳號你怎麼獲得呢？這是個大問題！但也不是不能！首先你可以利用輸入法漏洞！通過這個漏洞你可以直接進入計算機，不用帳號！（具體利用自己找！）但是這個漏洞也是很早的了！現在用戶都已經打上了補丁！（但也不是一定沒有次漏洞的！）當然你可以用x-scan掃nt弱口令獲得對方的登陸帳號！但是個人認為也不是很好！因為現在也很少能掃到若口令的3389的肉雞了！那麼直接獲得3389肉雞是希望不大了！可是3389的肉雞畢竟是肉雞中的精品！好處多多的！那怎麼獲得呢？呵呵！其實3389的獲得都是通過別的漏洞入侵了肉雞後，自己開的3389（遠程桌面服務），所以，大家還是先學習別的漏洞的入侵！在學習3389！當然這里涉及到怎麼開肉雞的3389服務！大家就要自己找資料了！
前面提到了x-scan！這個是安全焦點出的一個漏洞掃描分析工具！用在我們手裡就是掃描肉雞的工具！（其實我還不會用！）這里不建議新人使用！因為x-scan確實是大名鼎鼎，很多新人一接觸黑客就知道了他！並用他掃啊掃！掃了半天沒有任何信息！終於掃到東西了！呵呵！卻不知道怎麼利用！這也就是為什麼我不建議新人用的原因！就是掃到了漏洞不知道該怎麼利用！還有流光，也是一樣！功能強大！（但是我到今天還摸不到他是怎麼用！連怎麼添ip都不知道！（本人愚頓！））但比較復雜！當然你如果學習到了一定水平，（知道了裡面的 漏洞的利用！）是一定要用這些掃描軟體的！現在推薦大家還是去看動畫！學習專門的漏洞入侵！用專門的漏洞掃描工具！
最後說幾句！大家在找肉雞時要靈活運用！比如：你掃了很多4899的肉雞！（一般是些個人用戶！但也有伺服器！）那麼要想找其中是伺服器的怎麼辦呢？呵呵！你可以用scaner！他經過設置後可以掃描已有ip的埠！現在知道怎麼做了把！呵呵！一般伺服器為了方便管理都會開3389埠的！我們就可以利用這個特徵，掃描4899肉雞中開3389埠的機器！這樣.........呵呵！我就不細說了！關於scaner的應用！大家自己找資料吧！還有啊！有的後門是沒有密碼的！如winshell（後面會介紹到！）他默認的埠是5277！而有的粗心的黑客不設置直接生成後門！所以！就回留下特徵！呵呵！不用我說大家一定知道了！應該掃描開5277埠的機器！然後用相應的連接方法進行連接！就可以獲得「同行」「送」你的肉雞！呵呵！類似的方法還有很多！希望大家能靈活運用！輕松找到多多的肉雞！

挖掘雞是一軟體名
用來尋找有埠漏洞的電腦用的

㈣ 避免伺服器成為肉雞的應對措施

在公網中每時每刻都有人通過密碼字典暴力破解試圖登陸你的伺服器，不信請看該日誌文件大小 -sh `ls /var/log | grep btmp，該文件存儲了ssh失敗登陸的記錄。文件越大/增長越快，說明你的伺服器處於被別人暴力破解的危險中！為了避免這種危險，必須做好兩點：

1. 修改SSH默認埠，

2. 使用強口令密碼，不想看胡扯的請直接跳到後面。

整個網路空間中其實存在著很多弱口令伺服器，假設弱口令伺服器的用戶名都為root、密碼都為123456、SSH登陸埠都為默認的22。我有一台伺服器在不停的用密碼字典登陸這些弱口令機器，成功登陸的機器作為肉雞（傀儡）繼續登陸別的機器，假設一台伺服器以2台/天的速度進行登陸，那麼第一天我就有三台機器（包括自己的那台），第二天就是6+3=3^2=9台，第三天就是18+9=3^3=27台，第N天就是3^N台。

看到沒有，肉雞/傀儡伺服器是以指數級別在增加的！

為什麼有人不停登陸別人的機器，獲得肉雞？如果我手上有來自全世界的肉雞，並且數量很多，那玩兒法可就多了：

看不慣哪個網站？操縱這些陵塌陵傀儡機器不停的請求該網站，讓別人沒法用，服務癱瘓，這就是傳說中的DDoS攻擊（分布式拒絕服務攻擊）。

想賺點小錢，偷偷挖礦是你不二的選擇，這么多肉雞，雖然每一台計算能力不怎麼樣，但是聯合起來也不容小。這種肉雞俗稱挖掘雞（笑

肉雞做代理？這個話題我就不深說了，大陸敏感話題… …

窺探肉雞主人數據… 滿足窺探欲

這么多肉雞代表你有這么多IP，有大量IP能幹什麼？這又是另外一個龐大的話題了… …

一、基礎知識

/var/log/wtmp用於記錄登錄成功的用戶的信息，是一個二進制文件，只能尺戚通過 last命令來查看

查看嘗試惡意衫陵登陸的前十個IP:

查看惡意IP嘗試登陸次數:

當然，如果你要清理這個日誌，刪除在創建之

/var/log/btmp用於記錄登錄失敗的用戶的信息，是一個二進制文件，只能通過 lastb命令來查看

/var/log/lastlog用於記錄用戶的 歷史 登錄情況，是一個二進制文件，只能通過 lastlog命令來查看

/var/run/utmp用於記錄當前登錄的用戶的信息，是一個二進制文件，只能通過 who命令來查看

二、修改SSH默認埠

環境：CentOS 7

步驟：新增SSH埠–>>重啟sshd服務–>>添加防火牆規則–>>嘗試新埠登陸–>>關閉原先的22埠

1、新增SSH埠（列：1000）

vi /etc/ssh/sshd_config

# 找到Port 22這行，將前面的注釋去掉，再加一行Port 1000，如下，這樣做的目的是防止新埠登陸不上，老埠也不能用！

2、重啟sshd服務

如果是CentOS 7使用systemctl restart sshd，查看埠是否生效可以用systemctl status sshd

如果是CentOS 7以前的系統，使用/etc/init.d/sshd restart或者service sshd restart

重啟以後可以本地測試一下埠通沒通，telnet 127.0.0.1 1000

3、添加防火牆規則

如果是iptables防火牆，執行下面命令添加規則

# iptables配置文件位置/etc/sysconfig/iptables

# 添加1000埠規則

# 保存規則

# 重啟服務

如果防火牆是Firewall，參照下面步驟：

# 首先檢測防火牆是否已經啟用，啟用返回值runing，反之，為not running

#若沒有啟用，需要啟用

# 若已經啟用，則進行下一步

# 查看防火牆的默認、活躍區域（zones）

#看兩條命令的返回值是否含有public，有則為正確。

# 埠永久開放

# 為了防止出錯，22埠一同開放

# 與臨時開放的區別在於多了permanent

# 防火牆重載

# 查看已暴露埠

4、嘗試新埠登陸

嘗試用1000埠進行登陸，看是否成功！

5、關閉原先的22埠

參考上面的操作，首先在ssh的配置文件去掉22埠，重啟sshd服務，然後在防火牆配置裡面去除22埠，重啟防火牆！這里不再贅述。

6、修改弱口令為強口令

# 輸入修改密碼命令

#此時系統提示

# 輸入兩次密碼並回車，注意輸入密碼時不會顯示的

7、推薦：

shell隨機密碼生成函數：

# 生成隨機密碼 ($1 位數)

8、擴展

雖然上面修改埠和口令能夠大大提升安全性，但是在某些情況下不能修改埠或口令，此時可以推薦 DenyHosts或者fail2ban，它可以禁止大量嘗試登陸的IP。或者可以用最簡單的辦法，查看嘗試惡意登陸的前十個IP然後用防火牆禁止它，這里只提供思路。