Server infetto da qualche tipo di minatore: posso rubare i risultati?

Naviga le tue risposte
1

Un nostro server Windows è stato infettato da un qualche tipo di strumento di mining.

Per fortuna (?), lo strumento ha lasciato molti log. I log suggeriscono che è un Claymore CryptoNote CPU Miner v3.5 Beta . Al di fuori dei log, ci sono anche dei file misteriosi chiamati history.txt e id.txt - ma entrambi contengono caratteri gergali esadecimali simili agli ID di qualche tipo.

Al di fuori dell'ovvio passo successivo del nuking del server e della sua nuova installazione, mi chiedevo se c'è qualcosa che posso fare per pasticciare con qualunque meccanismo abbia attaccato il server in primo luogo. Ruba il loro lavoro, o almeno rendi più difficile continuare?

c'è qualcosa che posso fare? Oppure questa intera linea di pensiero è una causa persa e la cosa migliore è concentrarsi solo su come ottenere un nuovo server configurato?

    
posta Shaamaan 01.05.2017 - 21:40
fonte

1 risposta

7

Un minatore di criptovaluta di solito richiede bit di lavoro da un server, lavora su di essi per un certo periodo di tempo (fino a quando il blocco viene estratto, o da esso o da qualcun altro), invia il suo risultato e ricomincia da capo con un nuovo pezzo di lavoro.

Il minatore in sé non contiene molti dati, e quel dato è irrilevante in quanto l'indirizzo del destinatario per i profitti del blocco estratto è codificato in esso, quindi nel momento in cui un blocco viene estratto non c'è modo di "tornare indietro" e ottenere i fondi.

L'unica opzione è vedere se riesci a rompere qualsiasi server a cui è connesso il minatore, e vedere se contiene un portafoglio che puoi rubare - in tal caso potresti recuperare i fondi estratti dal tuo hardware e forse le altre vittime dell'attaccante, a meno che l'attaccante non abbia già speso questi soldi o trasferito in un altro portafoglio fuori dalla tua portata.

Per essere onesti, su un minatore di CPU probabilmente non hai perso molti soldi - in effetti scrivere questa risposta mi è costato più di quanto questo minatore avrebbe potuto fare in un mese, quindi direi lascia perdere, nuke il server e andare avanti.

    
risposta data 02.05.2017 - 15:22
fonte

Leggi altre domande sui tag

I cookie HTTPonly sono abbastanza sicuri per implementare la funzionalità "ricordami"? Come funziona l'autenticazione se la password fornisce un valore diverso per ogni accesso?