公司的阿里云主机被人放了挖矿程序,怎样抓住他?
公司的两个阿里云服务器,被运行了挖矿程序。明目张胆的放在桌面上。点进去一看,看到 熟悉的挖门罗币的几个文件。
其中,start.cmd,内容是:
xmrig.exe --donate-level 1 -o turtlecoin.herominers.com:10381 -u TRTLv2KJzmqKNtTEpiM8NiVKQcrWcjDxjPv5q8QhqPYHT2CHxFRwZZH5JMBXLbhgdwVjC6EXKyYhL3D37dC2s9EpBhMs5rBdXn3 -p man -a argon2/chukwav2 -k
所以,在 https://turtlecoin.herominers.com/?lang=zh-CN 上,输入他的钱包地址 TRTLv2KJzmqKNtTEpiM8NiVKQcrWcjDxjPv5q8QhqPYHT2CHxFRwZZH5JMBXLbhgdwVjC6EXKyYhL3D37dC2s9EpBhMs5rBdXn3 能看到他的实时的成果:
那么,他平均一天,大概能得到29美元吗?
还有看他的“支付历史”
他实际上是挖的乌龟币(TRTL)吗,从今天上午7点半,到现在 下午 4点半,一共收到了115000 TRTL。当前币价是0.00009749美元,就是说,他这一会儿就挣了 11美元。一天大概30美元左右。这还只是他的其中一个钱包。
想问一下,怎样抓到他? 找阿里云协助 明目张胆放桌面上?! 你同事吧, 其他人会低调一些 armok. 发表于 2021-10-21 18:03
明目张胆放桌面上?!
是的,用微软的“远程桌面连接”登录上以后,就是一个win10系统,看似干干净净的,桌面上就多这么一个文件夹,里面就是熟悉的挖门罗币的那几个文件(我也挖过所以熟悉,我也知道start.cmd文件就是批处理开启挖矿的脚本)。
对阿里的服务器操作,我这是头一回,本来不想管,看到有人用它来挖矿,有点意思。 albert_w 发表于 2021-10-21 18:09
你同事吧, 其他人会低调一些
不可能的,我很了解公司的同事们。 中毒很正常的,看防护。直接暴露公网的机器,无论是linux还是win,我都中国挖矿病毒 我也有个阿里云,求教程 本帖最后由 hetao7241 于 2021-10-21 21:51 编辑
我上次跟楼主一样中的挖矿病毒,也是阿里云服务器,我一直认为是阿里云放的这个病毒,他们的人搞的鬼,让我去买他们的服务,那段时间销售给我打了好多电话,没有采购 公司管理松散有可能是内部人员搞
否则成本高一旦发现 名利双收
中毒可能性比较大 minzhuzhongguo 发表于 2021-10-21 19:11
我也有个阿里云,求教程
我也求教程,只有知道敌人怎么搞的,才能搞敌人{:biggrin:} 不太可能中毒。
第一 阿里云 云主机带防护。一般也不是 3389 端口,密码被破解更加不可能
第二肯定是你同事挖的。区块链, 查不到人的 大概率是楼主挖的
然后看看有没有办法被人家查到 unifax001 发表于 2021-10-28 17:19
大概率是楼主挖的
然后看看有没有办法被人家查到
我去,你这个逆向思维无敌。 有教程吗? 那么问题来了,一天几十美金的收益,和租阿里云的费用比,是不是有赚呢?因为不用出电费啊。如果有赚,那还是个好生意呢。只不过现在不然挖矿了。 why800 发表于 2021-10-28 22:13
那么问题来了,一天几十美金的收益,和租阿里云的费用比,是不是有赚呢?因为不用出电费啊。如果有赚,那还 ...
你看看,他这是十几个设备名,每个设备名又有可能代表很多个机器,所以总共可能有几百台机器在一起给这一个账号挖。还有他可能有很多账号,这样他一天不止挣几十美元。
我用我工作电脑试过,没敢用到全线程,记得是折合大概一天几毛民币。根本出不来电费。 猜测是同事的。
另外用VPS挖矿,很多服务商会直接给你停机的。 不知道这样可不可以。
修改start.cmd或者假冒一个xmrig.exe,当被执行后除了开启一个正常的挖矿进程,还记录一下启动时间。根据这个时间到WINDOWS事件查看器里查看登陆的IP信息。再根据这个IP排查使用人。
页:
[1]