云上非法挖矿揭秘：冰与火之歌背后的黑手与防御策略

2018年，区块链行业在比特币价格的跌宕起伏中上演了一场冰与火之歌。然而，在这市场波动的背后，区块链领域的安全问题也日渐凸显，尤其是数字加密货币面临的“勒索”、“盗窃”和“非法挖矿”三大威胁中，非法挖矿在云主机用户群尤为突出。腾讯安全云鼎实验室的研究人员zhenyiguo、jaryzhou和youzuzhang深入剖析了这一现象。

一、币种分析（挖矿目标透视）

1. 在云上非法入侵挖矿行为中，黑客瞄准的主要币种是门罗币(XMR)、氪石币(XCN)和以利币(ETN)。这些币种采用CryptoNight算法设计，特别适合CPU架构进行优化挖矿，无需依赖GPU，因此成为黑客利用云主机CPU资源牟利的首选。

2. 尽管门罗币价格一路下滑，但其匿名特性以及对CPU友好的挖矿方式，反而使得黑客在下半年持续加剧对其的挖矿活动。通过关联数字货币价格走势与挖矿热度，可以发现大部分小币种的挖矿热度与其市场价格正相关，而像门罗币这样的高价值币种因其稳定的价值不受此规律影响。

二、矿池分析

1. 黑客在公有云上的入侵挖矿主要采取矿池挖矿的方式，以便整合少量算力，提高获得区块奖励的概率并实现收益稳定化。其中，minexmr.com矿池被黑客使用最多，其算力在全网门罗币矿池中占据第三的位置。

2. 对于云上非法挖矿常使用的矿池地址和端口统计显示，诸如5555、7777、3333等罕见端口常被用作连接矿池。用户可以通过监控此类特定矿池地址和端口访问情况，有效排查自身云主机是否遭受入侵，并针对性地进行防护措施设置。

三、漏洞利用入侵与溯源分析

1. 通过对历史案例的深入分析，云鼎实验室揭示出黑客批量入侵并植入挖矿程序的攻击方式。他们通常利用通用安全漏洞，如永恒之蓝、Redis未授权访问等问题，针对存在漏洞的云主机进行大规模扫描和入侵。

2. 黑客的挖矿工具多来源于开源项目，一键式操作简化了入侵挖矿的过程，且部分被黑的云主机呈现出聚集状态，大量掌握在少数黑客团伙或个人手中。这就意味着加强系统安全维护，及时修复漏洞，提升安全意识，对于防止云主机沦为非法挖矿工具至关重要。

四、安全建议

1. 针对云主机的安全加固，可关闭非必要端口，限制服务对外暴露及来源访问；密切关注操作系统和组件的重大更新，及时打补丁；采用复杂登录密码和密钥登录替代口令登录，预防暴力破解入侵。
2. 定期自检服务器部署的业务，有条件进行渗透测试，提早修补业务漏洞；利用腾讯云云镜等安全产品检测并修复服务器上的安全漏洞。
3. 若服务器已被入侵挖矿，应立即清理恶意进程和文件，并追查修复入侵源头，从根本上解决问题。

五、附录

这里列出部分涉及的币种、矿池列表以及挖矿程序样本和钱包地址信息，以便进一步研究和防范。

腾讯安全云鼎实验室依托先进的机器学习与大数据技术，实时监控各类风险信息，联手其他安全实验室共同研究安全漏洞，确保云计算平台整体安全性。通过腾讯云，该实验室为用户提供黑客入侵检测、漏洞风险预警等服务，切实助力企业解决服务器安全难题。 XCN币