目录
一. 什么是挖矿
我们平常所听到的挖矿就是利用电脑计算出哈希值的一个过程。谁能第一个计算出来,并通知全网得到验证,谁就算挖到了这个区块,拥有这个区块的奖励和打包的矿工费。用于计算的电脑一般有专业的挖矿芯片,多采用烧显卡的方式工作,耗电量较大。所以我们的电脑被挖矿了资源就会消耗的非常快,cpu使用率将近%100。再举一个详细的例子说明
在以POW(Proof-of-Work,工作量证明)作为共识协议的币种中,以比特币为例,矿机通过解决比特币网络公布的谜题并获得奖励的过程就称之为挖矿。
比如某一时刻比特币网络给的谜题为:
X+10<12,X为正整数,求解X?
那么在接入比特币网络的各个矿机中,哪个矿机先求解出X=1并公布出去,则称该矿机挖矿成功,并可以获得比特币网络的比特币奖励。这就是POW挖矿(工作量证明)的基本原理,当矿机求解出X的时候,就证明自己完成了一定的计算量(工作量),以此来获得奖励,矿机努力获得奖励的过程我们戏称为挖矿。
当然在实际的比特币挖矿中,谜题要比上述的例子中困难的多,各个矿机由于性能的不同,解决谜题的能力也不尽相同,谁先解决的快,那奖励就给谁,因此矿机的性能对于挖矿收益有很大的关系。在挖矿行业,我们用“算力”一词作为评价矿机性能的指标。
- “矿”就是指比特币;
- “挖矿”则是指在区块链的"区块链网络"上挖比特币的行为;
- “矿工”是指运用挖矿设备(比如说比特币矿机,一种可以用于计算的电脑设备),参与挖比特币的人。
即
挖矿就是利用你的电脑去计算hash值的一个过程,目的是获取比特并的奖励
二. 挖矿的危害
计算机服务资源如cpu资源被严重占用,导致我们的正常服务不能够进行
三. 如何确认被挖矿
当服务器或PC处于什么样的状态时,我们可以判定为被挖矿。通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下:
- 服务器或PC访问[过]不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的地址下载初始化程序,而不受信任的来源主要是:第三方情报结构,企业内部历史数据沉淀。
- 服务器或PC新增异常或恶意文件、进程或服务,并且大部分异常文件保存在服务器或PC的TMP目录中。
- 服务器或PC的定时任务发生变更。
四. 挖矿应急响应流程
PS:在整个处理挖矿的应急响应过程中,我们应该严格执行做好记录与备份工作。包括对分析过程中的命令、分析的文件都做好记录与备份。
这里的流程是一个最简化的流程,通常对于小B来说完整的流程包括:
1. 确认告警是否属于挖矿
通常我们都是通过告警的形式得知服务器或PC被挖矿。这个时候我们首先需要判断告警是否属于误报,如果不是误报那么需要确认告警是否真的属于恶意挖矿,如果不属于需要丢到其它的应急响应流程中,如果属于挖矿就需要进行后续的处理。
下面是一些常见的确认挖矿方法:
1.1 windows确认挖矿
- 打开资源管理员,查找占用CPU资源较高的服务和进程,右键打开文件所在位置,对文件进行分析查看是否属于挖矿程序
或者借助第三方工具进行分析
1.2 Linux确认挖矿
- 使用top命令查看系统性能,找出消耗资源较高的进程PID;
- 根据获取的PID信息利用ps -ef -p PID号,找出系统进程详细信息
- 根据进程详细信息定位到文件位置,进入文件位置进行文件分析,确认是否属于挖矿程序。
2. 确认挖矿后的清理工作
当我们通过2.1确认服务器或PC属于被挖矿后,我们需要执行清理工作。如果先分析再删除,更多是为了不破坏被攻击的环境方便溯源;但是如果我们在整个过程中做好完整的备份与记录,先删除再分析也OK。
下面是一些常见的清理挖矿方法:
2.1 Windows清理挖矿
- 确认挖矿程序后,先对挖矿程序进行备份。
- 然后先关闭对应的服务与进程
- 再删除对应的定时任务
- 最后删除对应的文件。在删除文件之后,反向再查询一遍定时任务、进程与服务,最好是在间隔一定时间段后再复查一次。
在Windows中通常使用图形界面进行操作,所以就不废话了。
2.2 Linux清理挖矿
Linux中在确认挖矿以后,也同样需要备份挖矿程序,再执行响应的操作。
- 停止服务:systemctl stop *.service;
- 杀掉进程:kill 9 PID,很多时候不光杀掉一个进程;
- 删除文件:rm -fr abnormal_file,删除文件时可以使用find / -name abnormal_file查找出系统中所有的恶意文件;
- 清理定时任务:crontab -e;
与Windows相同的是在删除完成后我们需要反向操作一次与间隔一定时间后再复查一次是否清理干净。
五. 溯源
......未完