Servidor infectado con algún tipo de minero - ¿Puedo robar los resultados?

Navega tus respuestas
1

Un servidor de Windows nuestro se infectó con algún tipo de herramienta de minería.

Como la suerte (?) lo tendría, la herramienta dejó muchos registros. Los registros sugieren que es un Claymore CryptoNote CPU Miner v3.5 Beta . Fuera de los registros, también hay archivos misteriosos llamados history.txt y id.txt , pero ambos contienen incoherencia hexadecimal similar a las ID de algún tipo.

Fuera del paso siguiente obvio de atacar al servidor y configurarlo de nuevo, me preguntaba si hay algo que pueda hacer para meterme con cualquier mecanismo que haya atacado al servidor en primer lugar. ¿Robar su trabajo, o al menos hacer que sea más difícil continuar?

¿ hay algo que pueda hacer? ¿O es que toda esta línea de pensamiento es una causa perdida y es mejor centrarse solo en configurar un nuevo servidor?

    
pregunta Shaamaan 01.05.2017 - 21:40
fuente

1 respuesta

7

Por lo general, un minero de criptomonedas solicitará bits de trabajo de un servidor, trabajará en ellos durante un cierto período de tiempo (hasta que se extraiga el bloque, ya sea por este o por otra persona), envíe su resultado y comience de nuevo con un nuevo pieza de trabajo.

El minero en sí mismo no tiene muchos datos, y esos datos son irrelevantes, ya que la dirección del destinatario para las ganancias del bloque extraído se codifica en él, por lo que, cuando se extrae un bloque, no hay manera de "regresar" y conseguir los fondos.

La única opción es ver si puede descifrar el servidor al que está conectado el minero y ver si contiene una billetera que puede robar. En ese caso, podrá recuperar fondos extraídos en su hardware y tal vez las otras víctimas del atacante, a menos que el atacante ya haya gastado este dinero o lo haya transferido a otra cartera fuera de su alcance.

Para ser honesto, en un CPU minero probablemente no perdiste mucho dinero. De hecho, escribir esta respuesta me costó más de lo que este minero podría haber hecho en un mes, por lo que diría que lo dejes pasar. servidor y seguir adelante.

    
respondido por el André Borie 02.05.2017 - 15:22
fuente

Lea otras preguntas en las etiquetas

¿Son las cookies de HTTP solo lo suficientemente seguras para implementar la funcionalidad de "recordarme"? ¿Cuál es la diferencia entre una puerta trasera y un rootkit?