被植入挖礦如何處理
Ⅰ 深度解析惡意挖礦攻擊:現狀、檢測及處置手冊
惡意挖礦攻擊的現狀、檢測及處置
背景:國家發改委宣布全面整治「挖礦」活動,以產業式集中式「挖礦」、國有單位涉及「挖礦」和比特幣「挖礦」為重點,體現了對整治這一威脅的堅定決心。奇安信威脅情報中心響應這一行動,免費推出應對惡意挖礦攻擊的檢測及自查處置手冊,以供企業用戶和個人用戶參考。
引言:惡意挖礦程序是網路威脅的另一大類別,它在用戶不知情或未經允許的情況下,佔用用戶終端設備的系統資源和網路資源進行挖礦,以獲取虛擬幣牟利。其影響范圍廣泛,從個人電腦到企業網站和伺服器,乃至個人手機和網路路由器。隨著虛擬貨幣交易市場的繁榮,惡意挖礦攻擊成為影響最為廣泛的一類威脅,威脅著企業和廣大個人網民。
面對惡意挖礦攻擊,本文提供針對企業機構和個人網民的全面解決方案。本文採用問答形式,解答企業機構和網民普遍關心的問題,並根據讀者對象分為企業篇和個人篇。
企業篇關注點包括:為什麼會感染惡意挖礦程序、惡意挖礦程序可能造成的影響、攻擊是如何實現的,以及如何發現和防護惡意挖礦攻擊。企業機構的網路管理員和安全運維人員在發現企業內網主機感染惡意挖礦程序或網站、伺服器以及雲服務被植入惡意挖礦程序時,通常會面臨如何防範和應對的挑戰。本文總結了惡意挖礦攻擊的主要方式,如釣魚欺詐、捆綁正常應用程序等,以及可能導致感染的系統漏洞和錯誤配置。企業內部人員的不當行為也可能帶來安全風險。本文詳細分析了惡意挖礦攻擊的實現過程,並提供了排查和防護方法。
個人用戶篇則聚焦於個人設備如何避免被惡意挖礦程序感染,包括提高安全意識、及時更新系統和應用版本、安裝個人終端安全防護軟體等建議。此外,本文介紹了針對常見惡意挖礦家族的自查和清除方法,覆蓋了從初始感染到檢測、清除和防護的全過程。
總結:惡意挖礦攻擊已成為網路威脅的重要組成部分,對企業和個人用戶構成了嚴重威脅。通過本文的深入分析和提供的應對措施,企業和個人用戶可以更好地了解惡意挖礦攻擊的現狀、檢測方法以及如何採取有效的防護措施,從而保護自己的系統和數據安全。奇安信威脅情報中心的指南為防範惡意挖礦攻擊提供了寶貴資源,助力企業和個人建立更強大的網路安全防禦體系。
Ⅱ 警惕:389萬台電腦被植入挖礦木馬,你中招了嗎
針對這樣的木馬侵入建議安裝安全軟體來進行防護
下載騰訊電腦管家,開啟實時防護功能
一旦瀏覽病毒網頁或者下載病毒軟體都會提出安全警示
如果有病毒侵入電腦還能立即進行提示並進行病毒查殺
Ⅲ 鎵嬫満琚鎸栫熆濡備綍瑙i櫎
鏍規嵁甯佺墰鐗涜祫鏂欐樉紺猴紝鎵嬫満琚鎸栫熆瑙i櫎鏂規硶濡備笅錛
1銆佸囦喚閲嶈佺殑鏁版嵁鍜岀収鐗囦箣鍚庢仮澶嶅嚭鍘傝劇疆鍚э紝涓嶈佸畨瑁呬笉鏄庢潵婧愮殑搴旂敤錛屽彟澶栨潈闄愯劇疆閲屼篃灝介噺涓嶈佹巿鏉冦
2銆佸彲浠ュ埛鏈虹湅涓涓嬭屼笉琛岋紝榪樻湁鐢佃剳瑕佹寜鏃舵竻鐞嗗唴瀛樻墠涓嶄細鍗$殑銆傛墜鏈哄唴瀛樺凡緇忎弗閲嶄笉瓚充簡錛屽緩璁鍋氳交涓浜涘唴瀛樻柟闈㈢殑娓呯悊錛岀劧鍚庝綘鐨勬墜鏈哄啀閲嶅惎涓涓嬪氨浼氬ソ浜嗐
3銆佹竻闄ゆ墜鏈烘暟鎹錛屽傛灉鏈夐噸瑕佺殑涓滆タ鍏堜繚瀛樺湪緗戠洏涓婏紝鐒跺悗鍐嶆仮澶嶅嚭鍘傝劇疆涓夋★紝榪欐牱姣旇緝瀹夊叏銆
Ⅳ 電腦挖礦違法嗎有多嚴重
法律主觀:
電腦挖礦違法。電腦挖礦是指計算機被植入的軟體程序通過特定演算法,在計算機上進行運算,運算完成後,自動得手友到特定結果,從而產生虛擬幣,這些虛擬幣可在第三方平台換算,以此獲得真實貨幣。
法律客觀:
《刑法》返薯寬第二百八十五條違反國家規定,侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的,處三年以下有期徒刑或者拘役。違反國家規定,侵入前款規定以外的計算機信息系統或者採用其他技術手段,獲取該計算機信息系統中存儲、處理或者傳輸的數據,或者對該計算機信息系統實施非法控制,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以漏亮上七年以下有期徒刑,並處罰金。提供專門用於侵入、非法控制計算機信息系統的程序、工具,或者明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為而為其提供程序、工具,情節嚴重的,依照前款的規定處罰。單位犯前三款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。
Ⅳ win版vps被植入流氓挖礦程序,求教
備份下主機數據,然後重裝系統
不要用版本太老的系統,建議2012或者2016
重裝系統之後刪除除管理員外的其他賬戶,然後安裝360安全衛士打補丁
安裝伺服器安全軟體
Ⅵ 挖「比特幣」等非法「挖礦」行為可能涉嫌的罪名
加密數字貨幣非法「挖礦」行為可能涉嫌的刑事犯罪
作者:李俊南 ,上海華勤基信(杭州)律師事務所負責人
近年來,比特幣、萊特幣、狗狗幣等加密數字貨幣的火熱行情吸引無數一夜暴富心態的人群積極參與,幣安、火幣、OKEx之類的網站迅速擴張擁有大量交易參與方,除了通過買賣途徑,很多人也選擇通過「挖礦」獲得加密數字貨幣。在「挖礦」的過程中產生一系列行為,而其中部分行為可能涉嫌刑事犯罪。筆者認為,如果要辨析可能涉嫌刑事犯罪的行為,必須先就加密數字貨幣和「挖礦」行為的概念進行了解。
第一部分 關於加密數字貨幣和「挖礦」的概念和性質
一、加密數字貨幣的概念
口語化普遍使用「虛擬貨幣」或者「數字貨幣」來指稱比特幣、萊特幣、USDT、狗狗幣等,其實「虛擬貨幣」或者「數字貨幣」的范圍比較廣泛,泛指不受管制的、數字化的貨幣,包括我們日常所知道的騰訊Q幣、盛大元寶等 游戲 幣或置換網站內部增值服務等的網路專用幣,也包括加密數字貨幣,筆者本文探討的各種行為或情節特指加密數字貨幣。加密數字貨幣是一種使用密碼學原理來確保交易安全及控制交易單位創造的交易媒介或者商品,來源於開放式的演算法導致沒有固定的發行方或管理方,通過網路計算方法進行解密獲得原始數字貨幣,因為演算法解總量可控從而做到讓數字貨幣總量固定,交易過程獲得網路中各個節點的認可從而導致交易行為的固定性或安全性。
加密數字貨幣與實物貨幣或者形式貨幣的數字化不同,《關於防範比特幣風險的通知》[1]和《關於防範虛擬貨幣交易炒作風險的公告》[2]明確其作為虛擬商品的性質,「不由貨幣當局發行,不具有法償性與強制性等貨幣屬性,不是真正的貨幣,不應且不能作為貨幣在市場上流通使用」。貨幣最初為不容易大量獲取的物品,而後變為金屬(尤其是金銀),這些本身即有價值的物品被挑選出來賦予交換權,按照某一時間點特定的價值比例可以循環、普適地交換其他商品或服務。政府(包括其他具有公信力的主體)成立後發行法幣,基於政府公信力和金銀儲量等基礎進行許諾,賦予法幣可以代替實物貨幣進行與商品或服務之間的交換。法幣(比如人民幣、美元、英鎊等)是在主權信用、貨幣契約理論和金銀儲備等基礎上而被賦予的代表一定可供交換價值的 社會 接受度。而 社會 之所以接受,是因為發行法幣時,主權機構將會就該等份額的法幣做出相應信用許諾,法幣具有轉化為真實實物價值的可能性。通常每個主權國家或區域只是用一種法幣,由中央銀行發行和控制,嚴格遵循「MPQV」的公式進行計算,避免發生嚴重背離市場的通貨膨脹或緊縮。
加密數字貨幣背後並沒有所謂的主權信用或價值支撐,是通過區塊鏈技術保密和流通、計算機演算法而獲得的虛擬物。區塊鏈是用分布式資料庫識別、傳播和記載信息的智能化對等網路。2009年比特幣第一個區塊被開發出來,有人稱之為「創世區塊」。用於加密數字貨幣的計算機演算法,目的是生成一種虛擬標記,這個標記被設定的程序認為完成了程序要求的解或運算結果程度,基於運算結果給這個標記一定的數字貨幣值。這個值本身沒有內在價值,是數學難題的解答,充其量可能對應的就是解法研發和所耗費的「礦機」購買價格、能耗價格等,而前者無法代表有價物,後者代表的只有消耗而沒有創造。
二、「礦機」和「挖礦」
獲得加密數字貨幣的初始方法就是運算,需要藉助計算機(「礦機」)來完成復雜運算過程。「礦機」通過中央處理器晶元或者顯卡參與數學計算,開展「挖礦」過程。如果能夠計算出結果,那麼被賦予一個或者幾分之一個數字貨幣值。以比特幣為例,「挖礦」就是找到一個隨機數(Nonce)參與哈希運算Hash(BlockHeader),使得最後得到的哈希值符合難度要求。
「挖礦」過程涉及的參與方和設備材料包括礦工、礦機、礦機銷售方、礦池管理方、區塊確認和廣播等。礦工可以簡單地理解為參與「挖礦」的每個人或機構,礦池是為了避免單個礦工「挖礦」收益的不穩定性而聚合礦工後產生的集合,根據不同礦工的運算貢獻對收益結果進行分配,區塊確認和廣播是通過區塊鏈節點互相認可某一個礦機代表的礦工工作量證明,進行記賬和通知其他節點。礦工的收益存儲於有密鑰的電子錢包中,可以查閱、使用和交易。「挖礦」的形式主要分為集中託管式和分布式,前者是礦工將礦機託管給某個礦池管理方,礦工支付電費和管理費,礦池管理方統一進行操作維護;後者是礦工自行管理礦機。
筆者認為單純的「挖礦」行為在此前並未存在任何有關於涉嫌違法的法律規定,但2021年5月21日國務院金融穩定發展委員會召開第五十一次會議,根據會議精神,「堅決打擊比特幣挖礦和交易行為」,此後就虛擬貨幣非法「挖礦」行為應當會出台進一步的規定。
第二部分 非法「挖礦」行為涉及刑事犯罪的現狀
一、筆者以「刑事案件」、「虛擬貨幣」、「挖礦」等關鍵詞在中國裁判文書網中進行搜索,存在132篇文書。經過對案件文書的研判,筆者發現:
1.根據審判程序來看。 一審判決書佔比81.81%;二審裁定書等佔比16.67%;審判監督駁回申訴通知書等佔比1.52%。
2.根據定罪罪名來看。 (1)一審定罪主要分布為:盜竊罪主要為盜竊公共電力資源,計算機系統相關犯罪主要為在他人計算機內植入木馬外掛程序、利用工作職務便利使用可控制的計算機系統挖礦等,非法吸收公眾存款罪、詐騙罪、集資詐騙罪和組織、領導傳銷活動罪除了與「挖礦」有關,還與加密數字貨幣的發行緊密相關,少量盜竊罪和其他類案件主要是與礦機買賣相關,或「挖礦」收益取得後被非法侵犯產生的其他犯罪行為。大量案件為單一罪名,少量案件數罪並罰。(2)二審定罪主要為組織、領導傳銷組織犯罪,佔50%;控制、入侵、破壞計算機系統等計算機系統相關犯罪,佔18.18%;其餘各項罪名(搶劫罪、集資詐騙罪、非法吸收公眾存款罪、盜竊罪等)佔31.82%。基本所有案件均維持原判。
二、筆者另通過網路搜索發現:
2018年5月騰訊網報道[3]稱,「西安市未央區檢察院提前介入一起特大網路黑客盜竊虛擬貨幣案,並批捕該案三名嫌疑人。三名嫌疑人為專業化的網路技術人員,組織『黑客聯盟』非法侵入他人計算機系統並將計算機中的虛擬貨幣轉移,涉案金額高達6億元」。
2020年11月哈爾濱新聞網報道[4]稱,黑龍江警方抓獲28名犯罪嫌疑人,成功破獲一起涉嫌以「哥倫布CAT虛擬貨幣」「挖礦」為噱頭的特大網路傳銷案件,總價值近人民幣3億元。
2021年5月8日法制現場報道[5]稱,武漢市洪山警方「宣布打掉一專為網路詐騙團伙開發APP的 科技 公司」,「晟昌 科技 」接受委託定製開發一款名為聯合眾鑫的虛擬幣平台,以USDT充值後,「宣稱兌換聯合眾鑫獨有幣種ZBCT後,可在平台內購買礦機挖礦產生收益」,但礦機運營圖片全部為網路圖片,同時可以使用後台修改許可權,「隨意修改ZBCT價格及具體收益比率」。「晟昌 科技 」公司「3年間開發了150餘個涉及區塊鏈、虛擬貨幣、電子錢包、網路商城等APP、小程序,幾乎全部是網路金融詐騙、傳銷團伙所定製」[6]。
公布案例和網路報道表明,近年來與加密數字貨幣「挖礦」行為相關的違法犯罪活動非常猖獗,採取網路等方式,存在金額高、行為性質復雜、多角色參與、受害者群體遍布廣等特徵。
第三部分 就非法「挖礦」行為涉及刑事犯罪的一些思考
一、我國關於非法「挖礦」行為的態度
從2013年12月中國人民銀行等五部委發布的《關於防範比特幣風險的通知》至2021年5月21日國務院金融穩定發展委員會第五十一次會議要求,都在宏觀層面確認了加密數字貨幣在發行、交易過程中可能存在風險。因為加密數字貨幣去中心化不可管控的特性,被大量的犯罪活動所「青睞」。
2021年5月25日,內蒙古發展和改革委員會發布了《關於堅決打擊懲戒虛擬貨幣「挖礦」行為八項措施(徵求意見稿)》,發布之前已多次對虛擬貨幣「挖礦」和交易行為進行圍追堵截。國家能源局四川監管辦公室發布《關於召開虛擬貨幣「挖礦」有關情況調研座談會的通知》。
二、從國際上而言
新加坡、韓國、日本等地均已出台了與虛擬貨幣相關的行業規范政策,比如在投資人門檻、交易所牌照、實名認證機制等方面均有所要求。印度則准備直接禁止民眾交易及持有加密數字貨幣。各個國家和地區的大趨勢也逐漸朝著管控方向歸攏。
三、非法「挖礦」行為的非法性體現分析
單純的個人購買或者租用礦機進行加密數字貨幣「挖礦」,並未有法律規定禁止,這是基於個人需要而獲得虛擬商品的行為,需要被禁止的應當是帶有非法屬性的「挖礦」行為。
前文提及的案例表明,主要犯罪行為體現為:
1.技術型非法攫取
部分不法分子利用投資者購買礦機,或管理計算機,或其他便利條件,通過對計算機系統內植入木馬病毒為自己「挖礦」,涉嫌 入侵、控制或破壞計算機系統犯罪 ,或盜取他人已經獲得的加密數字貨幣 涉嫌盜竊罪 。
2.盜取電力資源
部分不法分子通過私設電纜、增設微電腦控制器等手段盜竊電能用於「挖礦」,已經成為了部分地區的多發性案件。盜電行為不僅僅直接通過秘密手段非法使用和侵犯了公共資源和他人合法權益,同時可能會因線路漏電引起火災、影響節能減排政策下的區域供電安排和平衡、影響區域性階梯用電的電價,應予以打擊。
3.引發 非法吸收公眾存款罪,詐騙罪 或 組織、領導傳銷活動罪 等涉眾
(1)A宣稱可以銷售(含銷售後託管)或租賃礦機進行「挖礦」, A向 社會 公眾宣稱,礦機具有強大的算力(衡量礦機銷售價格或租賃費用多以算力或配置為主要標准之一),稱可以每月獲得一定的加密數字貨幣收益回報。如果回報是維持在一定的固定標准時,則A就有可能 涉嫌非法吸收公眾存款罪 。
(2)A宣稱其礦機存在一定標準的算力,但實際未達到該等運算效率,甚至礦機並不實際存在,A收受投資人支付的購買款和租賃費,就 涉嫌詐騙罪、合同詐騙罪 或 集資詐騙罪 。
(3)A通過三級以上代理渠道推廣「挖礦」業務,要求各級代理必須先購買或承租一定數量的礦機,可以介紹他人參與購買或承租礦機「挖礦」的行為,可以獲得浮動收益。也就是說,代理通過購買或承租一定數量的礦機獲得入會資格,再通過拉人頭等方式拿到另外的利潤分配,形成三級或以上組織架構,A將 涉嫌組織、領導傳銷活動罪 。
四、再進一步思考
1.A沒有礦機或礦機根本不符合其宣稱的性能,向投資人銷售的同時約定託管,或進行租賃時以虛假信息表現存在礦機、以各種借口阻止投資人現場查看或查看虛假場所,但是A與投資人約定退出機制並按月交付投資收益,在市場上購買加密數字貨幣宣稱「挖礦所得」給予投資人、賺取利差的行為,是否涉嫌犯罪?筆者認為A的行為屬於詐騙行為,究其本質都是採用了虛構事實或者隱瞞真相的行為,使投資人誤以為A有符合宣傳的礦機、可以帶來符合預期的收益,才支付的購買價款或租賃費用。
2.A自己發行了一種加密數字貨幣,自行定價,宣稱租賃A的礦機可以「挖礦」獲得該加密數字貨幣,實際上並沒有礦機供投資人使用,僅僅是根據投資人的投入金額,向投資人固定地發放加密數字貨幣。A通過程序設定「挖礦」所得數量,甚至將該加密數字貨幣與主流加密數字貨幣的兌換價格無限調整,是否涉嫌犯罪?筆者認為,A的行為仍然是詐騙行為,該加密數字貨幣可能僅僅在A控制網路節點中做閉環運作,通過一系列的包裝,利用投資人的回報期待,以無價值的數字化產物置換法幣(也可能現要求投資人以法幣購買主流加密數字貨幣,再以主流加密數字貨幣進行投資,增加手段的隱蔽性),實際上還是非法佔有受害人財產。
3.A發行了加密數字貨幣,投資人租賃礦機參與「挖礦」的目的不在於看好該加密數字貨幣的升值空間,而在於該加密數字貨幣與主流加密數字貨幣的恆定兌換比例。投資人以其獲得的黑色或灰色收入購買該加密數字貨幣,在閉環系統里兌換為主流加密數字貨幣,通過買賣獲得法幣資產。涉及犯罪所得的非法收入通過「挖礦」洗白。A的行為根據其故意程度、參與上游犯罪程度,可能涉嫌上游犯罪的共犯、幫助網路信息犯罪活動罪、掩飾隱瞞犯罪所得罪、洗錢罪等。
綜上所述,大量人群為了高回報期待參與「挖礦」行為,在不法分子的引誘、欺騙下,或在自身利益驅動下可能發生違法犯罪的行為,涉案的罪名種類繁多,行為手段也日趨復雜化、隱蔽化、涉眾化,需要加強監管,避免加密數字貨幣的熱潮給犯罪活動提供溫床。
Ⅶ 伺服器被攻擊並植入kdevtmpfsi挖礦/病毒/木馬
MongoDB庫中的數據莫名其妙沒有了,發覺如下信息:
1、 top -d 5命令 ,查看系統負載情況、是否有未知進程,發現一個名為kdevtmpfsi的進程,經科普它是一個挖礦程序,會佔用伺服器高額的CPU、內存資源。如圖,CPU佔用率高達788.7%,而且是yarn用戶下:
2、 ps -ef |grep kdevtmpfsi 命令查看 該挖礦程序路徑:/tmp/kdevtmpfsi
3、 ps -ef |grep yarn 命令查看更多關於yarn相關進程信息(此時我的伺服器並沒有開啟yarn服務,如果有yarn的相關進程則可判斷是攻擊者開啟的進程),發現另外還有個kinsing進程,經科普kinsing進程是kdevtmpfsi的守護進程:
4、 netstat -lntupaa 命令查看是否有異常的ip,果然發現194.87.102.77這個陌生的ip,判斷是kdevtmpfsi的發出者:
5、經查詢該ip的所在國家是俄羅斯:
6、 find / -iname kdevtmpfsi 命令再次確定命令所在位置以便刪除:
7、 cd /tmp 進入相關目錄:
8、 rm -rf kdevtmpfsi 刪除kdevtmpfsi程序:
9、** kill -9 40422**殺掉kdevtmpfsi進程:
10、發現並沒殺掉所有kdevtmpfsi進程,再次查找yarn的相關進程(因為之前已確認病毒是在yarn下),果真還有kdevtmpfsi進程存在:
11、用命令 批量殺掉 相關進程:
12、刪除kinsing文件:
13、現在,已經把挖礦程序及相關進程刪除掉了,但是還有兩處沒做處理:
14、 crontab -l 命令先看看crontab的定時任務列表吧:
15、編寫刪除挖礦程序腳本 kill_kdevtmpfsi.sh :
16、新增 定時任務 並刪除攻擊者的挖礦定時任務:
17、 crontab -l命令 查看現在只有殺進程的定時任務了:
18、禁止黑客的IP地址。
最初安裝MongoDB時,並未設置密碼認證,存在漏洞,導致黑客通過漏洞攻擊伺服器,並在程序里植入木馬/病毒。單純的kill -9 id殺掉病毒進程是殺不徹底的,治標不治本,應該定時刪除病毒進程,禁止攻擊者IP,重新安裝系統或相關軟體。
經過幾天的觀察,伺服器運行正常,再沒有被黑客攻擊成功。
Ⅷ 手機被植入挖礦代碼怎麼辦,訪問不良網站後手機變卡
清除手機數據,如果有重要的東西先保存在網盤上,然後再恢復出廠設置三次,這樣比較安全,