肉鸡挖矿代码

㈠ 宽带鸡肉什么意思

所谓宽带肉鸡，就是拥有管理权限的远程电脑。也就是受别人控制的远程电脑。肉鸡可以是各种系统,如win,linux,unix等；更可以是一家公司\企业\学校甚至是政府军队的服务器，一般所说的肉鸡是一台开了3389端口的Win2K系统的服务器,所以3389端口没必要开时关上最好。
电脑肉鸡的用途:谁也不希望自己的电脑被人控制，但是很多人的电脑是几乎不设防的，很容易被远程攻击者完全控制。你的电脑就因此成为别人砧板上的肉，别人想怎么吃就怎么吃，肉鸡（机）一名由此而来。为什么攻击者热衷于获得他人电脑的控制权呢？控制别人的电脑，有什么用？他也搬不走，不还在我家里放着么。很多对电脑安全一无所知的人这样看。本文试图用简单的描述，解释“肉鸡”的“商业价值”，了解这些，你就知道，一个陌生人的电脑对攻击者有多少诱惑。1.盗窃“肉鸡”电脑的虚拟财产虚拟财产有：网络游戏ID帐号装备、QQ号里的Q币、联众的虚拟荣誉值等等。虚拟财产，是可以兑现为真实货币的，多少不限，积累起来就是财富。2.盗窃“肉鸡”电脑里的真实财产真实财产包括：网上银行，大众版可以进行小额支付，一旦你的网银帐号被盗，最多见的就是要为别人的消费买单了。此外，还有网上炒股，证券大盗之类的木马不少，攻击者可以轻易获得网上炒股的帐号，和银行交易不同的是，攻击者不能利用偷来的炒股帐号直接获益，这是由股票交易的特殊性决定的。不然，网上炒股一定会成为股民的噩梦。相当多的普通电脑用户不敢使用网上银行，原因就是不了解该怎样保护网上银行的帐号安全。事实上，网上银行的安全性比网上炒股强很多。正确使用网上银行，安全性和便利性都是有保障的。3.盗窃他人的隐私数据陈冠希事件，相信大家都知道，如果普通人的隐密照片、文档被发布在互联网上，后果将会十分严重。利用偷来的受害人隐私信息进行诈骗、勒索的案例不少。还有攻击者热衷于远程控制别人的摄像头，满足偷窥他人隐私的邪恶目的。如果偷到受害人电脑上的商业信息，比如财务报表、人事档案，攻击者都可以谋取非法利益。4.可利用受害人的人脉关系获取非法利益你或许认为你的QQ号无足轻重，也没QQ秀，也没Q币。实际上并非如此，你的QQ好友，你的Email联系人，手机联系人，都是攻击者的目标，攻击者可以伪装成你的身份进行各种不法活动，每个人的人脉关系都是有商业价值的。最常见的例子就是12590利用偷来的QQ号群发垃圾消息骗钱，还有MSN病毒，自动给你的联系人发消息骗取非法利益。5.在肉鸡电脑上种植流氓软件，自动点击广告获利这种情况下，会影响你的上网体验，相信所有人都很讨厌电脑自动弹出的广告。攻击者在控制大量肉鸡之后，可以通过强行弹出广告，从广告主那里收获广告费，流氓软件泛滥的原因之一，就是很多企业购买流氓软件开发者的广告。还有的攻击者，通过肉鸡电脑在后台偷偷点击广告获利，当然，受损的就是肉鸡电脑了。6.以肉鸡电脑为跳板（代理服务器）对其它电脑发起攻击黑客的任何攻击行为都可能留下痕迹，为了更好的隐藏自己，必然要经过多次代理的跳转，肉鸡电脑充当了中介和替罪羊。攻击者为传播更多的木马，也许会把你的电脑当做木马下载站。网速快，机器性能好的电脑被用作代理服务器的可能性更大。7.“肉鸡”电脑是发起DDoS攻击的马前卒DDoS，你可以理解为网络黑帮或网络战争，战争的发起者是可以获取收益的，有人会收购这些网络打手。这些网络黑帮成员，也可以直接对目标主机进行攻击，然后敲诈勒索。“肉鸡”电脑，就是这些网络黑帮手里的一个棋子，DDoS攻击行为已经是网络毒瘤。总之，“肉鸡”电脑是攻击者致富的源泉，在攻击者的圈子里，”肉鸡“电脑就象白菜一样被卖来卖去。在黑色产业链的高端，这些庞大”肉鸡“电脑群的控制者构筑了一个同样庞大又黑暗的木马帝国。电脑肉鸡的价格:在“圈里”，被控制的电脑被称为“肉鸡”，它最大的特点是可以被任意窥视和使用，甚至被买卖控制权。在国内，“肉鸡”的价格在1毛到1块不等。金山毒霸事业部副总经理王欣曾根据下载网站“灰鸽子”工作室的浏览量做过复杂推算，“每天可能有超过6000人使用这一程序，保守估计他们一人控制10台电脑，一年间，曾被控制过的电脑超过2000万”。而据资深黑客介绍，根据“肉鸡”的不同价格，每笔交易的价格在100元至上千元不等，资深商贩一个月内可以抓到10万台电脑，并以此换取万元收入。

㈡ 求助服务器被挖矿程序入侵，如何排查

新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接

服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般

会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这

就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客

户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，

仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查

当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病

毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，

客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击

状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开

发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重

的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，

SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器

一切稳定运行，网站打开正常。

㈢ 什么叫肉鸡挖掘鸡是做什么的

肉鸡就是具有最高管理权限的远程电脑。简单的说就是受你控制的远程电脑。肉鸡可以是win、Unix/Linux……等各种系统；肉鸡可以是一家公司的服务器，一家网站的服务器，甚至是美国白宫或军方的电脑，只要你有这本事入侵并控制他，呵呵。莱鸟所说用的肉鸡一般是开了3389端口的Win2K系统的服务器。
要登陆肉鸡，必须知道3个参数：远程电脑的IP、用户名、密码。

有许多人问我这样一个问题就是：什么是肉鸡！其实我也说不好是什么意思！个人认为肉鸡就是你可以控制的一台电脑！无论通过什么方式！
对于肉鸡！我建议大家先学习4899的肉鸡！先介绍一下4899！4899是一种国外的远程控制软件所开的默认端口！（那端口是什么呢？我的理解是端口的作用就是把好多计算机向你发来的信息分别从不同的管道给你！每个管道就是一个端口！并有标号！并且有的标号和一类信息是对应的！比如：从25的管道（端口）传来的信息就对应着邮件类！从80管道传来的信息就是网页信息！还有的就没有的不常用的信息，就临时开一个任意（在大于1024端口！1024之前是是一些一一对应的管道！）管道来接受信息！所以端口的作用就是通过不同的端口接受不同的来接受数据包！不知道大家明白没有！还不明白就自己查资料啊！如果我说的有错误！请尽快和我说啊！）该软件叫Radmin！分两部分！控制端和服务端！有很多服务功能！如：通过远程图形控制！（就象操作自己的计算机一样操作对方的计算机！）Telnet功能，telnet是的远程登陆等功能！是在命令下实现的！你可以简单认为是远程操作对方的dos窗口！（其实我就是这么认为的！呵呵）上传下载文件的功能！这个功能大家很明白！就是可以在你和对方计算机之间互相传送文件！还有其他功能，等等！我做了个动画！其实这个软件不是大家所认为的木马！（之所以不是木马！因为其功能都不符合木马的要求！）只是一个普通的远程控制的工具！一些用户用该软件远程管理自己的机器！可以从公司的电脑直接到加里的电脑取文件！或者放文件！管理机器等等！但是不知道为什么！有的用户却不知道为什么不给客户端设置密码！这样我们就有了可乘之机！我们可以用特定工具扫描开4899的机器！（4899这个是Radmin的特征！呵呵！）然后用客户端进行连接！该软件唯一确认你身份的东西就是连接时需要密码！而有的用户却没有设置！所以！我们就可以进入其计算机，并做软件所提供的功能操作！（就是我上面所说的！和一些没有说的！）关于4899的肉鸡，从扫描--到利用，我做了个动画！（动画在菜鸟帝国里有下载！叫:4899的应用,地址:http://fhbandsyg.w5.51web.cn/down_view.asp?id=347还有毛毛做的4899的动画也要看看!站上也有的!自己艘艘把!）大家可以看看！然后自己再照着画瓢！
说完了4899在说说20168，这个是一种叫爱情病毒所开的超级后门端口！如果你中了该病毒，病毒就会在你的机器里开一个20168的端口，使其他人可以通过telnet服务，用命令telnet 你的机器的ip 20168（所有所所的命令都是在dos中键入的！win98的是dos而2000的是命令提示符！）来连接上你的电脑，并且连接后权限很大！可以进行任何级别的命令操作！所以，如果你的机器开了这个端口请你赶快用杀毒软件把他杀掉！不然遇到可恶的入侵者，你的机器可就遭殃了！而从入侵的角度来看！我们就可以用端口扫描工具（如：Port Ready）去扫开20168的机器！然后telnet上去！就可以轻松得到一台机器的shell（shell：简单认为就是一个可以操作远程计算机的dos命令窗口！）并可以进行一切权限的操作！大家可以试试！不过该病毒是个老病毒了！所以可能扫描现在不到了，而且病毒作者只允许利用该端口一次！所以...........但是大家要知道！有很多病毒我们是可以利用的！比如：益出！一场大范围的病毒侵袭后，一般会有高手根据病毒写出相应的益出程序！（什么是益出呢？我那缓冲区益出给大家举例！如果你向一个只能容纳20毫升的杯子里倒入30毫升的牛奶会出现什么情况呢？呵呵！一定就会有10毫升流出了杯子！把这个例子用在缓冲区益出里就是你向计算机“倒入”“30毫升”的数据！而缓冲区只能处理“20毫升”那“10毫升”到那里去了呢？呵呵！可不是象牛奶一样浪费了！，而是把一些别的合法数据给覆盖了！这样如果这“10毫升”数据是一些病毒代码，或者黑客程序，呵呵！后果就可想而知了.............）使我们这些菜鸟可以通过这些程序轻而易举的拿到对中病毒计算机的shell！当然不仅病毒可以益出！微软的很多漏洞都是可以的！所以大家要关注微软的漏洞报告！以便得到新鲜的肉鸡！呵呵！
上面说的一些简单的获得肉鸡的方法！有4899空密码的！病毒开的后门的20168！还有利用漏洞益出的！等等！大家还可能说你怎么不说3389啊！呵呵！是要说说！其实3389是微软提供的远程桌面的服务，英文名字叫“Term Server”所开的端口（端口可以更改）。通过客户端（连接软件），用户帐号来进行图形操作远程的计算机！是windows自带的服务！但不是每个操作系统都有的！win2000的server和2003版本的有还有xp系统的有！而win2000个人板是没有该服务的！通常所说的3389肉鸡是对方开了此服务！并且你有对方的登陆帐号！（注意：帐号权限必须是adm权限！）可以登陆对方计算机进行操作的！所以只要扫开3389端口的机器就可以基本判断哪个计算机开了该服务！然后获得登陆帐号就可以了！但是！！！帐号你怎么获得呢？这是个大问题！但也不是不能！首先你可以利用输入法漏洞！通过这个漏洞你可以直接进入计算机，不用帐号！（具体利用自己找！）但是这个漏洞也是很早的了！现在用户都已经打上了补丁！（但也不是一定没有次漏洞的！）当然你可以用x-scan扫nt弱口令获得对方的登陆帐号！但是个人认为也不是很好！因为现在也很少能扫到若口令的3389的肉鸡了！那么直接获得3389肉鸡是希望不大了！可是3389的肉鸡毕竟是肉鸡中的精品！好处多多的！那怎么获得呢？呵呵！其实3389的获得都是通过别的漏洞入侵了肉鸡后，自己开的3389（远程桌面服务），所以，大家还是先学习别的漏洞的入侵！在学习3389！当然这里涉及到怎么开肉鸡的3389服务！大家就要自己找资料了！
前面提到了x-scan！这个是安全焦点出的一个漏洞扫描分析工具！用在我们手里就是扫描肉鸡的工具！（其实我还不会用！）这里不建议新人使用！因为x-scan确实是大名鼎鼎，很多新人一接触黑客就知道了他！并用他扫啊扫！扫了半天没有任何信息！终于扫到东西了！呵呵！却不知道怎么利用！这也就是为什么我不建议新人用的原因！就是扫到了漏洞不知道该怎么利用！还有流光，也是一样！功能强大！（但是我到今天还摸不到他是怎么用！连怎么添ip都不知道！（本人愚顿！））但比较复杂！当然你如果学习到了一定水平，（知道了里面的 漏洞的利用！）是一定要用这些扫描软件的！现在推荐大家还是去看动画！学习专门的漏洞入侵！用专门的漏洞扫描工具！
最后说几句！大家在找肉鸡时要灵活运用！比如：你扫了很多4899的肉鸡！（一般是些个人用户！但也有服务器！）那么要想找其中是服务器的怎么办呢？呵呵！你可以用scaner！他经过设置后可以扫描已有ip的端口！现在知道怎么做了把！呵呵！一般服务器为了方便管理都会开3389端口的！我们就可以利用这个特征，扫描4899肉鸡中开3389端口的机器！这样.........呵呵！我就不细说了！关于scaner的应用！大家自己找资料吧！还有啊！有的后门是没有密码的！如winshell（后面会介绍到！）他默认的端口是5277！而有的粗心的黑客不设置直接生成后门！所以！就回留下特征！呵呵！不用我说大家一定知道了！应该扫描开5277端口的机器！然后用相应的连接方法进行连接！就可以获得“同行”“送”你的肉鸡！呵呵！类似的方法还有很多！希望大家能灵活运用！轻松找到多多的肉鸡！

挖掘鸡是一软件名
用来寻找有端口漏洞的电脑用的

㈣ 避免服务器成为肉鸡的应对措施

在公网中每时每刻都有人通过密码字典暴力破解试图登陆你的服务器，不信请看该日志文件大小 -sh `ls /var/log | grep btmp，该文件存储了ssh失败登陆的记录。文件越大/增长越快，说明你的服务器处于被别人暴力破解的危险中！为了避免这种危险，必须做好两点：

1. 修改SSH默认端口，

2. 使用强口令密码，不想看胡扯的请直接跳到后面。

整个网络空间中其实存在着很多弱口令服务器，假设弱口令服务器的用户名都为root、密码都为123456、SSH登陆端口都为默认的22。我有一台服务器在不停的用密码字典登陆这些弱口令机器，成功登陆的机器作为肉鸡（傀儡）继续登陆别的机器，假设一台服务器以2台/天的速度进行登陆，那么第一天我就有三台机器（包括自己的那台），第二天就是6+3=3^2=9台，第三天就是18+9=3^3=27台，第N天就是3^N台。

看到没有，肉鸡/傀儡服务器是以指数级别在增加的！

为什么有人不停登陆别人的机器，获得肉鸡？如果我手上有来自全世界的肉鸡，并且数量很多，那玩儿法可就多了：

看不惯哪个网站？操纵这些陵塌陵傀儡机器不停的请求该网站，让别人没法用，服务瘫痪，这就是传说中的DDoS攻击（分布式拒绝服务攻击）。

想赚点小钱，偷偷挖矿是你不二的选择，这么多肉鸡，虽然每一台计算能力不怎么样，但是联合起来也不容小。这种肉鸡俗称挖掘鸡（笑

肉鸡做代理？这个话题我就不深说了，大陆敏感话题… …

窥探肉鸡主人数据… 满足窥探欲

这么多肉鸡代表你有这么多IP，有大量IP能干什么？这又是另外一个庞大的话题了… …

一、基础知识

/var/log/wtmp用于记录登录成功的用户的信息，是一个二进制文件，只能尺戚通过 last命令来查看

查看尝试恶意衫陵登陆的前十个IP:

查看恶意IP尝试登陆次数:

当然，如果你要清理这个日志，删除在创建之

/var/log/btmp用于记录登录失败的用户的信息，是一个二进制文件，只能通过 lastb命令来查看

/var/log/lastlog用于记录用户的 历史 登录情况，是一个二进制文件，只能通过 lastlog命令来查看

/var/run/utmp用于记录当前登录的用户的信息，是一个二进制文件，只能通过 who命令来查看

二、修改SSH默认端口

环境：CentOS 7

步骤：新增SSH端口–>>重启sshd服务–>>添加防火墙规则–>>尝试新端口登陆–>>关闭原先的22端口

1、新增SSH端口（列：1000）

vi /etc/ssh/sshd_config

# 找到Port 22这行，将前面的注释去掉，再加一行Port 1000，如下，这样做的目的是防止新端口登陆不上，老端口也不能用！

2、重启sshd服务

如果是CentOS 7使用systemctl restart sshd，查看端口是否生效可以用systemctl status sshd

如果是CentOS 7以前的系统，使用/etc/init.d/sshd restart或者service sshd restart

重启以后可以本地测试一下端口通没通，telnet 127.0.0.1 1000

3、添加防火墙规则

如果是iptables防火墙，执行下面命令添加规则

# iptables配置文件位置/etc/sysconfig/iptables

# 添加1000端口规则

# 保存规则

# 重启服务

如果防火墙是Firewall，参照下面步骤：

# 首先检测防火墙是否已经启用，启用返回值runing，反之，为not running

#若没有启用，需要启用

# 若已经启用，则进行下一步

# 查看防火墙的默认、活跃区域（zones）

#看两条命令的返回值是否含有public，有则为正确。

# 端口永久开放

# 为了防止出错，22端口一同开放

# 与临时开放的区别在于多了permanent

# 防火墙重载

# 查看已暴露端口

4、尝试新端口登陆

尝试用1000端口进行登陆，看是否成功！

5、关闭原先的22端口

参考上面的操作，首先在ssh的配置文件去掉22端口，重启sshd服务，然后在防火墙配置里面去除22端口，重启防火墙！这里不再赘述。

6、修改弱口令为强口令

# 输入修改密码命令

#此时系统提示

# 输入两次密码并回车，注意输入密码时不会显示的

7、推荐：

shell随机密码生成函数：

# 生成随机密码 ($1 位数)

8、扩展

虽然上面修改端口和口令能够大大提升安全性，但是在某些情况下不能修改端口或口令，此时可以推荐 DenyHosts或者fail2ban，它可以禁止大量尝试登陆的IP。或者可以用最简单的办法，查看尝试恶意登陆的前十个IP然后用防火墙禁止它，这里只提供思路。