公司的阿里云主机被人放了挖矿程序，怎样抓住他？

kv2004

公司的两个阿里云服务器，被运行了挖矿程序。
明目张胆的放在桌面上。点进去一看，看到 熟悉的挖门罗币的几个文件。
其中，start.cmd，内容是：
xmrig.exe --donate-level 1 -o turtlecoin.herominers.com:10381 -u TRTLv2KJzmqKNtTEpiM8NiVKQcrWcjDxjPv5q8QhqPYHT2CHxFRwZZH5JMBXLbhgdwVjC6EXKyYhL3D37dC2s9EpBhMs5rBdXn3 -p man -a argon2/chukwav2 -k
所以，在 https://turtlecoin.herominers.com/?lang=zh-CN 上，输入他的钱包地址 TRTLv2KJzmqKNtTEpiM8NiVKQcrWcjDxjPv5q8QhqPYHT2CHxFRwZZH5JMBXLbhgdwVjC6EXKyYhL3D37dC2s9EpBhMs5rBdXn3 能看到他的实时的成果：

那么，他平均一天，大概能得到29美元吗？

还有看他的“支付历史”

他实际上是挖的乌龟币（TRTL）吗，从今天上午7点半，到现在 下午 4点半，一共收到了115000 TRTL。当前币价是0.00009749美元，就是说，他这一会儿就挣了 11美元。一天大概30美元左右。这还只是他的其中一个钱包。

想问一下，怎样抓到他？

霸气侧漏

找阿里云协助

armok.

明目张胆放桌面上？！

albert_w

你同事吧, 其他人会低调一些

kv2004

armok. 发表于 2021-10-21 18:03
明目张胆放桌面上？！

是的，用微软的“远程桌面连接”登录上以后，就是一个win10系统，看似干干净净的，桌面上就多这么一个文件夹，里面就是熟悉的挖门罗币的那几个文件（我也挖过所以熟悉，我也知道start.cmd文件就是批处理开启挖矿的脚本）。
对阿里的服务器操作，我这是头一回，本来不想管，看到有人用它来挖矿，有点意思。

kv2004

albert_w 发表于 2021-10-21 18:09
你同事吧, 其他人会低调一些

不可能的，我很了解公司的同事们。

rogerangel

中毒很正常的，看防护。直接暴露公网的机器，无论是linux还是win，我都中国挖矿病毒

minzhuzhongguo

我也有个阿里云，求教程

hetao7241

我上次跟楼主一样中的挖矿病毒，也是阿里云服务器，我一直认为是阿里云放的这个病毒,他们的人搞的鬼，让我去买他们的服务，那段时间销售给我打了好多电话，没有采购

lb0857

公司管理松散  有可能是内部人员搞
否则  成本高  一旦发现   名利双收
中毒可能性比较大

kv2004

minzhuzhongguo 发表于 2021-10-21 19:11
我也有个阿里云，求教程

我也求教程，只有知道敌人怎么搞的，才能搞敌人

rei1984

不太可能中毒。  

第一 阿里云 云主机带防护。  一般也不是 3389 端口，  密码被破解更加不可能

第二  肯定是你同事挖的。  区块链， 查不到人的

unifax001

大概率是楼主挖的
然后看看有没有办法被人家查到

lingdianhao

unifax001 发表于 2021-10-28 17:19
大概率是楼主挖的
然后看看有没有办法被人家查到

我去，你这个逆向思维无敌。

elevator2021

有教程吗？               

why800

那么问题来了，一天几十美金的收益，和租阿里云的费用比，是不是有赚呢？因为不用出电费啊。如果有赚，那还是个好生意呢。只不过现在不然挖矿了。

kv2004

why800 发表于 2021-10-28 22:13
那么问题来了，一天几十美金的收益，和租阿里云的费用比，是不是有赚呢？因为不用出电费啊。如果有赚，那还 ...

你看看，他这是十几个设备名，每个设备名又有可能代表很多个机器，所以总共可能有几百台机器在一起给这一个账号挖。还有他可能有很多账号，这样他一天不止挣几十美元。
我用我工作电脑试过，没敢用到全线程，记得是折合大概一天几毛民币。根本出不来电费。

lxvtag

猜测是同事的。

另外用VPS挖矿，很多服务商会直接给你停机的。

elecfun

不知道这样可不可以。
修改start.cmd或者假冒一个xmrig.exe，当被执行后除了开启一个正常的挖矿进程，还记录一下启动时间。根据这个时间到WINDOWS事件查看器里查看登陆的IP信息。再根据这个IP排查使用人。