欧美乱码精品一区二区三区,风流少妇又紧又爽又丰满,被债主在夫面前人妻被强,国产精品视频永久免费观看

摘要

2016年是勒索病毒泛濫的年份，2017年隨著電子貨幣價格的一路攀升，“挖礦”已成為黑客的新寵。黑客多利用“肉雞”（被控制的電腦）實施挖礦，賺取電子貨幣，從而獲利（比特幣、門羅幣等）。據(jù)統(tǒng)計，2017年僅黑客組織隱匿者就利用肉雞挖到了2010枚門羅幣，相當(dāng)于61萬美元，可以想到，2017年黑客通過挖礦凈利潤能達到百萬美元以上。

“挖礦”雖然不像勒索病毒那樣讓被害者直接遭受數(shù)據(jù)丟失的損失。但會悄悄潛伏在被害者的機器中，利用機器資源肆意進行挖礦活動，導(dǎo)致計算機會變得又卡又慢，甚至出現(xiàn)死機等情況，直接影響用戶的使用體驗。

“挖礦”由于機制原因?qū)C器的性能有相當(dāng)?shù)囊?，同時黑客攻擊的目標(biāo)主要集中在允許外網(wǎng)訪問的服務(wù)器中。于是各類云上的RDS和ECS服務(wù)器就成了黑客們優(yōu)先攻擊的目標(biāo)。黑客在攻擊得手后，在服務(wù)器上部署挖礦程序。惡意侵占被害者服務(wù)器的資源，為自己賺取電子貨幣。

本文會向大家介紹“挖礦”到底是怎么回事，以及常見的黑客入侵服務(wù)器部署挖礦程序的全過程，最后會給出如何抵御黑客入侵的建議。

挖礦

黑客們?yōu)槭裁匆诘V？這和電子貨幣體系有密切關(guān)系。電子貨幣發(fā)行的過程可以簡單認(rèn)為就是挖礦過程。電子貨幣是無國界的，所以不依賴于某個政府發(fā)行。它的發(fā)行是在電子貨幣的系統(tǒng)中，“礦工”們用一種特別的軟件來解決數(shù)學(xué)難題，作為工作量的回報，“礦工”可以獲取電子貨幣系統(tǒng)新生成的特定數(shù)量的電子貨幣。

以比特幣為例來說明，比特幣網(wǎng)絡(luò)中每10分鐘會生成一個新的區(qū)塊，這個新生成的區(qū)塊會包含三點內(nèi)容：

第一類：最近10分鐘產(chǎn)生的所有比特幣支交易記錄。比特幣采用的是P2P機制，所有人的交易記錄，會出現(xiàn)在所有人的賬單上，每10分鐘比特幣新產(chǎn)生的區(qū)塊會記錄所有人的交易信息。

第二類：區(qū)塊鎖。每個區(qū)塊中的數(shù)學(xué)難題的答案，首個通過hash等復(fù)雜運算碰撞出答案的“礦工”會得到相應(yīng)的比特幣獎勵。挖礦對機器的性能是有一定需求的。數(shù)據(jù)庫服務(wù)器一般具有較高性能，所以黑客更愿意花精力來捕捉數(shù)據(jù)庫服務(wù)器做挖礦機。

第三類：第一個解開區(qū)塊鎖的礦工獲得獎勵。電子貨幣的發(fā)行機制往往獎勵的最大部分是給與第一個解決數(shù)學(xué)難題的人。

惡意挖礦程序

電子貨幣機制的產(chǎn)生本意是為了吸引更多的個體投入到系統(tǒng)中來，設(shè)立對礦工工作的獎勵機制。因此社會中就會有更多的人愿意將個人的計算機運算能力提供給電子貨幣的網(wǎng)絡(luò)系統(tǒng)，隨著電子貨幣的價值提升，又有更多的人加入其中進行挖掘。

正常的挖礦機都是自愿加入到電子貨幣的網(wǎng)絡(luò)體系中，為電子貨幣提供計算能力，然后依據(jù)自己的計算貢獻能力，從中獲取收益。但是惡意程序是在未授權(quán)的情況下向被害者的服務(wù)器植入的一個挖礦程序，并盜用被害者個人計算機的計算能力來為黑客掙錢。

挖礦機的選擇

黑客多會選擇入侵?jǐn)?shù)據(jù)庫服務(wù)器使其變成挖礦機，這是因為數(shù)據(jù)庫服務(wù)器具備以下適合成為挖礦機的特征：

1. 有明確的入侵渠道

云上數(shù)據(jù)庫服務(wù)器如果不進行配置，外網(wǎng)IP是開啟的，任何人只要知道IP就可以訪問服務(wù)器，數(shù)據(jù)庫安裝采用固定的端口，黑客利用腳本采取批量攻擊。除了利用數(shù)據(jù)庫漏洞入侵?jǐn)?shù)據(jù)庫外，最常見的是暴力破解口令的方式。某些云上數(shù)據(jù)庫服務(wù)是有一組默認(rèn)用戶名和密碼的，很可能被黑客利用，從而入侵?jǐn)?shù)據(jù)庫。

2. 有一定的性能保障

數(shù)據(jù)庫服務(wù)器一般性能不會太低。而礦工的收益和機器的性能又密切相關(guān)，所以入侵?jǐn)?shù)據(jù)庫服務(wù)器部署挖礦程序，執(zhí)行性能是可以得到保障的。

3. 可以執(zhí)行系統(tǒng)命令且具備一定權(quán)限

數(shù)據(jù)庫服務(wù)器被入侵后，大部分?jǐn)?shù)據(jù)庫都是可以在修改一些配置后，對操作系統(tǒng)上的文件進行操作，甚至執(zhí)行操作系統(tǒng)命令，為下載挖礦工具和一些守護進程提供了可能和權(quán)限。

4. 可創(chuàng)建穩(wěn)定鏈接

數(shù)據(jù)庫被入侵后，黑客可以創(chuàng)建屬于自己的數(shù)據(jù)庫后門（數(shù)據(jù)庫賬號和密碼），從而能長期控制數(shù)據(jù)庫和數(shù)據(jù)庫服務(wù)器，作為自己的挖礦機。

5. 隱蔽性好

挖礦機運行時會導(dǎo)致服務(wù)器壓力飆升。數(shù)據(jù)庫服務(wù)器某些時段壓力提升，不會讓人馬上想到是挖礦機造成，而會花大量力氣在錯誤的方向上，從而減慢挖礦機被發(fā)現(xiàn)的時間，賺取更多利潤。

黑客入侵過程追蹤

在了解黑客選擇數(shù)據(jù)庫服務(wù)器作為主要入侵目標(biāo)后，我們進一步了解黑客是如何一步一步把你的數(shù)據(jù)庫變成他的挖礦機的。黑客從入侵到完成部署挖礦機主要分為以下5個步驟：

1、掃描確定嘗試入侵目標(biāo)

黑客一般不會采用全網(wǎng)段掃描，而是基于一定隨機值在一個網(wǎng)絡(luò)段選取部分進行掃描，并且使用TCP_SYN掃描。TCP_SYN掃描只發(fā)送SYN包，通過端口開放回應(yīng)SYN&ACK包，端口關(guān)閉回應(yīng)RST包來判斷端口是否存在。雖然這種方法存在一定偏差性，但可以有效隱蔽黑客的掃描行為，暫時發(fā)現(xiàn)黑客最關(guān)注的端口是1433(SQLServer)和3306（MySQL），掃描后生成一個IP和端口的列表。

2、暴力破解入侵?jǐn)?shù)據(jù)庫

黑客掃描完會把生成的列表發(fā)送到C&C服務(wù)器。開始對掃描出的端口做爆破用的密碼字典配置。執(zhí)行暴力破解的時候會采用多臺已被攻陷的肉雞，不同時段和批次的進行暴力破解。如果順利破解出密碼，登陸數(shù)據(jù)庫準(zhǔn)備下一步攻擊。

3、部署數(shù)據(jù)庫后門

黑客在順利登陸到數(shù)據(jù)庫后，首先會嘗試在數(shù)據(jù)庫部署后門，以保持日后還可以長期穩(wěn)定的使用該數(shù)據(jù)庫。

黑客多使用某些特定操作建立后門用戶或修改已知用戶密碼。

請注意如果你的數(shù)據(jù)庫中存在賬號 hanako、kisadminnew1、401hk$、guest、Huazhongdiguo110中的任意一個。很可能你的數(shù)據(jù)庫服務(wù)器已經(jīng)被某個黑客組織植入了挖礦機。

4、利用數(shù)據(jù)庫下載挖礦程序

由于操作需要使用到某些存儲過程，所以整個過程分為兩個階段。第一階段準(zhǔn)備環(huán)境，修改數(shù)據(jù)庫配置。第二階段下載工具，第一階段準(zhǔn)備環(huán)境主要是讓數(shù)據(jù)庫有執(zhí)行shell的能力，最常見的是利用 xp_cmdshell執(zhí)行shell

1）恢復(fù)xp_cmdshell 

2）開啟被禁用的xp_cmdshell

也有利用SP_OACreate執(zhí)行shell的

3）使用SQL Server CLR執(zhí)行shell

當(dāng)完成環(huán)境部署，能用數(shù)據(jù)庫調(diào)用shell后進入第二階段下載挖礦工具

4）第二階段下載挖礦工具

使用shell向C&C 服務(wù)器發(fā)起請求，下載挖礦工具。

5、部署挖礦程序開始挖礦

在利用數(shù)據(jù)庫完成一些列配置文件的創(chuàng)建和編寫，開始調(diào)用挖礦程序進行挖礦。

安全解決之道

整個數(shù)據(jù)庫入侵過程歸根結(jié)底主要是數(shù)據(jù)庫弱口令和數(shù)據(jù)庫安全配置缺失問題導(dǎo)致的災(zāi)難。云上數(shù)據(jù)庫雖然部署方便、使用快捷，但部署時難免存在安全考慮不周的地方，給不法分子帶來可乘之機。

快速部署后的數(shù)據(jù)庫安全配置至關(guān)重要。合理的安全配置會對密碼的強度有相當(dāng)?shù)囊?。?shù)據(jù)庫的安全配置可以參考各家數(shù)據(jù)庫官網(wǎng)的安全配置，同時也可以關(guān)注和參考安華金和基于數(shù)據(jù)庫研究并結(jié)合云數(shù)據(jù)庫RDS/ECS經(jīng)驗總結(jié)出的數(shù)據(jù)庫最佳安全配置系列文章。

值得注意的是，黑客主要攻擊的目標(biāo)是Windows和Linux系統(tǒng)的數(shù)據(jù)庫服務(wù)。如果能控制住對數(shù)據(jù)庫有訪問權(quán)限的機器，就能夠有效避免此類攻擊。通過數(shù)據(jù)庫防火墻或者網(wǎng)絡(luò)防火墻等設(shè)備嚴(yán)格控制，可以訪問默認(rèn)服務(wù)器的IP，因此必須經(jīng)常檢查對數(shù)據(jù)庫有訪問權(quán)限的設(shè)備清單，保持這個清單最小化，尤其要注意清單中直接通過互聯(lián)網(wǎng)訪問的機器，采用白名單策略，所有不在清單上的IP或域名對數(shù)據(jù)庫的連接嘗試都應(yīng)該攔截并進行調(diào)查。

為了更加方便的解決數(shù)據(jù)庫安全配置引起的各種安全問題，建議使用安華云安全免費提供的數(shù)據(jù)庫漏掃綠色下載版本，快速完成針對數(shù)據(jù)庫安全配置的所有檢查，并給出修復(fù)建議，從數(shù)據(jù)庫配置上徹底阻斷黑客入侵的步伐。