Trend_Micro Mar 17 2022 at 13:19

Битва за ресурсы: особенности нелегального криптомайнинга в облачных сервисах

8 min

6.5K

Trend Micro corporate blogInformation Security*Research and forecasts in IT*Cloud services*Cryptocurrencies

Comments 8

13werwolf13 Mar 17 2022 at 15:09

Криптомайнинг нагружает не только процессор, но и сеть. Сетевой трафик заражённых машин увеличивается из-за необходимости взаимодействия с сетевыми пулами.

поправьте меня если я ошибаюсь, но ЕМНИП тот-же xmrig за сутки съедает меньше 100 метров трафика. это конечно не тот трафик который бы хотелось видеть на своих серверах, но врятли это причина для паники. покрайней мере на фоне нагрузки на процессор это мелочь недостойная внимания. зато это способ такой майнер похоронить, даже не имея доступа на железку потому что она слишком занята майнингом можно рубануть доступ до пула и майнеру станет нечем заняться.

ba00 Mar 17 2022 at 15:43

Майнеры давно можно настраивать на количество потребляемых ресурсов\ядер\потоков процессора. Ну и блокировать пулы смысла нет, потому что всегда можно пробросить к ним через левые прокси.

nochkin Mar 17 2022 at 18:38

Если произошёл такой "захват" сервера, то снимать с него сливки будут на максимуме, так как всё равно их прикроют скоро. То есть, никто не будет настраивать потребление ресурсов. Да и жадность всегда будет жадностью.

garbagecollected Mar 17 2022 at 19:03

Обычно основная проблема криптомайнеров - не спалить наличие майнера в системе. То есть использовать свободные ресурсы системы не нарушая её работы. Прям как истинный паразит. Так что, загрузка ЦП до 100%, да еще так, что все веб-серверы встали - это явно просчет этого хакера.

Обычно, этот момент контролируется, надо избегать запуска майнеров на смартфонах (греются), на ноутбуках (шумят вентиляторы). Иначе майнер палится, затем палятся все адреса вывода крипты, затем палится вся сеть, сливающая крипту в данный временный отстойник. Чем меньше людей спалят, тем дольше сеть паразитов проработает.

d-stream Mar 18 2022 at 11:00

Ну бывает всякие. Когда прорезалась дыра в confluence - майнеры подсаживались и грузили на 100% - то есть урывали "здесь и сейчас".

garbagecollected Mar 17 2022 at 19:38

Как защититься от нелегального облачного криптомайнинга?

Если на сервере стоит MacOS, Unix или Linux, то хорошим шагом навстречу к безопасности будет выполнение рекомендаций lynis.

Установить можно из репозитория вашего дистрибутива: apt, yum, dnf, brew, pacman и прочие - название пакета везде одинаковое.

sudo lynis audit system

Запустили программку и идёте попивать чай. Через 1-10 минут будет полный отчет с ссылками на комментарии к устранению проблемы.

asciicast:18690

asciinema.org

Но если ваш сервер имеет ОС, например, ESXi или что-то проприетарно-виртуально-подобное, то я и сам не представляю себе как от этого защититься. Если злоумышленнику удалось запустить майнер на хосте мимо виртуалок, которые обслуживает гипервизор, то майнер скорее всего либо останется незамеченным очень долго, либо выдаст себя по сценарию, описанному в статье. Но, в любом случае, таких злоумышленников не так много, и в майнинге они не нуждаются.

И кстати, не стоит пренебрегать установкой антивируса на сервер. Особенно, если это файло-помойка, которой пользуются клиенты с Windows на борту.

msky2009 Mar 18 2022 at 13:57

Мне кажется, что статья немного устарела. Майнинг на процессоре умер лет десять назад. Сейчас одна карта уровня 3090 заменит сотню процессоров, по скорости добычи.

garbagecollected Mar 19 2022 at 20:52

Не, тема жива. Какая разница на чем майнить CPU или GPU если они не твои? Мало того, на некоторых сайтах js-майнеры вставлены в страницу как форма доната, где пользователю дают выбор - показывать рекламу или вместо рекламы загруженный в background майнер.