现在 CPU 挖矿都这么防不胜防

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2297 天前的主题，其中的信息可能已经有所发展或是发生改变。

我之前一台 windows 电脑，当测试 sql server 服务器用的。用了一个 frp 端口映射到了远程服务器。可能是 sql server 2005 有什么漏洞或者 frp 端口穿透导致了这台电脑后来被植入了挖矿程序。

某一天我调试程序的时候发现执行存储过程超慢，连上去之后看，cpu 占用 100%。然后看了下一共 2 个程序，一个 fix.exe 占用 75%，还有一个就比较有灵性了，搜狗云计算（ SogouCloud.exe ）占用 25%。刚好 2 个程序瓜分了所有的 cpu 资源，导致其他程序超慢。然后这个 fix.exe 是个挖矿程序，这个程序放在 C:/Users/Public 下面并且设置为了系统隐藏文件。贴一下这个挖矿程序的配置文件

 "pools": [
        {
            "url": "w1.homewrt.com:8756", // URL of mining server
            "user": "49EHNacRauzgz8cGouhrVChcLyF3XrGLAdWiczJxY1qpX3oed4cGgMUUHHhyR7taGJ1MtvpfJiDf9gugAko4MzXM9DRYzZ1",                        // username for mining server
            "pass": "x",                       // password for mining server
            "keepalive": true,                 // send keepalived for prevent timeout (need pool support)
            "nicehash": true                  // enable nicehash/xmrig-proxy support
        },
		{
            "url": "w.homewrt.com:8756", // URL of mining server
            "user": "49EHNacRauzgz8cGouhrVChcLyF3XrGLAdWiczJxY1qpX3oed4cGgMUUHHhyR7taGJ1MtvpfJiDf9gugAko4MzXM9DRYzZ1",                        // username for mining server
            "pass": "x",                       // password for mining server
            "keepalive": true,                 // send keepalived for prevent timeout (need pool support)
            "nicehash": true                  // enable nicehash/xmrig-proxy support
        }
    ],
    "api": {
        "port": 0,                             // port for the miner API https://github.com/xmrig/xmrig/wiki/API
        "access-token": null,                  // access token for API
        "worker-id": null                      // custom worker-id for API
    }

看配置文件，这个 cpu 挖矿的程序代码在这里 https://github.com/xmrig/xmrig/wiki/API

处理方式：

1. 安全模式下，将这个 fix.exe 打包并删除。
2. 卸载搜狗输入法。
3. 下载一个杀毒防护软件来替代裸奔。

14 条回复 • 2018-07-27 11:12:43 +08:00

460881773

2018-07-26 18:49:05 +08:00

所以你是来宣传你的挖矿源码？

yongzhong

2018-07-26 18:54:30 +08:00

emmm 所以真的是搜狗在搞鬼?还是说被搞成了替死鬼

dorentus

2018-07-26 20:58:58 +08:00 via iPhone

@460881773 xmrig 又不是他写的…

wangfei324017

2018-07-26 22:22:53 +08:00

门罗币，我司之前就有中毒，还好是测试服务器，删了重装了

hippies

2018-07-26 22:41:11 +08:00 via Android

这个和矿霸比谁比较流氓，2333

zhzer

2018-07-27 08:53:24 +08:00

广告有点硬

iyangyuan

2018-07-27 09:25:46 +08:00 via iPhone

竟然还带注释的，厉害厉害

randyzhao

2018-07-27 09:53:05 +08:00

注释很清晰，莫名想给开发者点赞。。。

xhf3894

2018-07-27 09:54:07 +08:00

@460881773 #1 我只是被这个震惊到了啊，即使是开源的东西也会被用到违法犯罪的方面。

xhf3894

2018-07-27 09:59:30 +08:00

@yongzhong #2 也许是意外情况，毕竟我用了端口穿透软件将 sql server 暴露在公网上面运行了几个月。这个软件有行配置是配置 cpu 使用率 75%，恰好这 25%被另一个占用了，如果不是 100%，说不定还会更晚时间发现到这个问题。

uwh0am1

2018-07-27 10:05:16 +08:00

老哥你应该看看这个文章 https://weibo.com/ttarticle/p/show?id=2309404264914922394994#_0。有个专门抓 sqlserver 弱密码的，然后跑爆破。成功之后通过 xp_cmdshell 等等等等去下载挖矿木马。看样子，和你所遭受的攻击一模一样，你可以下载样本，在 config.json 中，能看到和你挖矿马一模一样的配置

xia0pia0

2018-07-27 10:22:56 +08:00

这个是比较弱的了批量工具了。真做得好的，驱动加免杀、进程注入，还有针对性过杀软的，关键还是自己提高安全意识，别人都是捕鱼的，别成为那条 fish.

xhf3894

2018-07-27 10:34:24 +08:00

@uwh0am1 #11 还真是你说的这种情况。我看 sql server 里面有个未知的账号，并且 job 里也有可疑的地方。

uwh0am1

2018-07-27 11:12:43 +08:00

@xhf3894 哈哈，能帮到老哥就成，应该查杀起来不是很难的。下次注意别弱口令就行啦，安全措施一定要做好