我之前一台 windows 电脑,当测试 sql server 服务器用的。用了一个 frp 端口映射到了远程服务器。可能是 sql server 2005 有什么漏洞或者 frp 端口穿透导致了这台电脑后来被植入了挖矿程序。
某一天我调试程序的时候发现执行存储过程超慢,连上去之后看,cpu 占用 100%。 然后看了下一共 2 个程序,一个 fix.exe 占用 75%,还有一个就比较有灵性了,搜狗云计算( SogouCloud.exe )占用 25%。刚好 2 个程序瓜分了所有的 cpu 资源,导致其他程序超慢。 然后这个 fix.exe 是个挖矿程序,这个程序放在 C:/Users/Public 下面并且设置为了系统隐藏文件。 贴一下这个挖矿程序的配置文件
"pools": [
{
"url": "w1.homewrt.com:8756", // URL of mining server
"user": "49EHNacRauzgz8cGouhrVChcLyF3XrGLAdWiczJxY1qpX3oed4cGgMUUHHhyR7taGJ1MtvpfJiDf9gugAko4MzXM9DRYzZ1", // username for mining server
"pass": "x", // password for mining server
"keepalive": true, // send keepalived for prevent timeout (need pool support)
"nicehash": true // enable nicehash/xmrig-proxy support
},
{
"url": "w.homewrt.com:8756", // URL of mining server
"user": "49EHNacRauzgz8cGouhrVChcLyF3XrGLAdWiczJxY1qpX3oed4cGgMUUHHhyR7taGJ1MtvpfJiDf9gugAko4MzXM9DRYzZ1", // username for mining server
"pass": "x", // password for mining server
"keepalive": true, // send keepalived for prevent timeout (need pool support)
"nicehash": true // enable nicehash/xmrig-proxy support
}
],
"api": {
"port": 0, // port for the miner API https://github.com/xmrig/xmrig/wiki/API
"access-token": null, // access token for API
"worker-id": null // custom worker-id for API
}
看配置文件,这个 cpu 挖矿的程序代码在这里 https://github.com/xmrig/xmrig/wiki/API
处理方式:
1. 安全模式下,将这个 fix.exe 打包并删除。
2. 卸载搜狗输入法。
3. 下载一个杀毒防护软件来替代裸奔。
1
460881773 2018-07-26 18:49:05 +08:00
所以 你是来宣传你的挖矿源码?
|
2
yongzhong 2018-07-26 18:54:30 +08:00
emmm 所以真的是搜狗在搞鬼?还是说被搞成了替死鬼
|
4
wangfei324017 2018-07-26 22:22:53 +08:00
门罗币,我司之前就有中毒,还好是测试服务器,删了重装了
|
5
hippies 2018-07-26 22:41:11 +08:00 via Android
这个和矿霸比谁比较流氓,2333
|
6
zhzer 2018-07-27 08:53:24 +08:00
广告有点硬
|
7
iyangyuan 2018-07-27 09:25:46 +08:00 via iPhone
竟然还带注释的,厉害厉害
|
8
randyzhao 2018-07-27 09:53:05 +08:00
注释很清晰,莫名想给开发者点赞。。。
|
10
xhf3894 OP @yongzhong #2 也许是意外情况,毕竟我用了端口穿透软件将 sql server 暴露在公网上面 运行了几个月。这个软件有行配置是配置 cpu 使用率 75%,恰好这 25%被另一个占用了,如果不是 100%,说不定还会更晚时间发现到这个问题。
|
11
uwh0am1 2018-07-27 10:05:16 +08:00
老哥你应该看看这个文章 https://weibo.com/ttarticle/p/show?id=2309404264914922394994#_0。有个专门抓 sqlserver 弱密码的,然后跑爆破。成功之后通过 xp_cmdshell 等等等等去下载挖矿木马。看样子,和你所遭受的攻击一模一样,你可以下载样本,在 config.json 中,能看到和你挖矿马一模一样的配置
|
12
xia0pia0 2018-07-27 10:22:56 +08:00
这个是比较弱的了批量工具了。真做得好的,驱动加免杀、进程注入,还有针对性过杀软的,关键还是自己提高安全意识,别人都是捕鱼的,别成为那条 fish.
|