https://bitcointalksearch.org/topic/antbleed-virus-clone-5224777
перевод
Недавно я купил на eBay несколько Antminer S9 с bitmain прошивкой , и увидел некоторые аномалии в отчетах о хэшрейте по сравнению с фактическим хешрейтом на пуле
Я видел множество тем с такой же проблемой, но без решения проблемы.
Что я нашел:
Code:
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
11:22:36.264415 IP (tos 0x0, ttl 64, id 9890, offset 0, flags [DF], proto TCP (6), length 60)
192.168.1.45.36302 > 192.169.6.241.48748: Flags [S], cksum 0xb9fd (correct), seq 2314096459, win 29200, options [mss 1460,sackOK,TS val 8285329 ecr 0,nop,wscale 5], length 0
0x0000: 4500 003c 26a2 4000 4006 8aaa c0a8 012d E..<&.@[email protected]
0x0010: c0a9 06f1 8dce be6c 89ee 4f4b 0000 0000 .......l..OK....
0x0020: a002 7210 b9fd 0000 0204 05b4 0402 080a ..r.............
0x0030: 007e 6c91 0000 0000 0103 0305 .~l.........
11:22:37.245654 IP (tos 0x0, ttl 64, id 4740, offset 0, flags [DF], proto TCP (6), length 60)
192.168.1.48.33514 > 192.169.6.241.48748: Flags [S], cksum 0x6562 (correct), seq 3083763706, win 29200, options [mss 1460,sackOK,TS val 8285566 ecr 0,nop,wscale 5], length 0
0x0000: 4500 003c 1284 4000 4006 9ec5 c0a8 0130 E..<..@[email protected]
0x0010: c0a9 06f1 82ea be6c b7ce 7ffa 0000 0000 .......l........
0x0020: a002 7210 6562 0000 0204 05b4 0402 080a ..r.eb..........
0x0030: 007e 6d7e 0000 0000 0103 0305 .~m~........
11:22:38.244593 IP (tos 0x0, ttl 64, id 4741, offset 0, flags [DF], proto TCP (6), length 60)
192.168.1.48.33514 > 192.169.6.241.48748: Flags [S], cksum 0x64fe (correct), seq 3083763706, win 29200, options [mss 1460,sackOK,TS val 8285666 ecr 0,nop,wscale 5], length 0
0x0000: 4500 003c 1285 4000 4006 9ec4 c0a8 0130 E..<..@[email protected]
0x0010: c0a9 06f1 82ea be6c b7ce 7ffa 0000 0000 .......l........
0x0020: a002 7210 64fe 0000 0204 05b4 0402 080a ..r.d...........
0x0030: 007e 6de2 0000 0000 0103 0305 .~m.........
11:22:40.244595 IP (tos 0x0, ttl 64, id 4742, offset 0, flags [DF], proto TCP (6), length 60)
192.168.1.48.33514 > 192.169.6.241.48748: Flags [S], cksum 0x6436 (correct), seq 3083763706, win 29200, options [mss 1460,sackOK,TS val 8285866 ecr 0,nop,wscale 5], length 0
0x0000: 4500 003c 1286 4000 4006 9ec3 c0a8 0130 E..<..@[email protected]
0x0010: c0a9 06f1 82ea be6c b7ce 7ffa 0000 0000 .......l........
0x0020: a002 7210 6436 0000 0204 05b4 0402 080a ..r.d6..........
0x0030: 007e 6eaa 0000 0000 0103 0305 .~n.........
^C
4 packets captured
5 packets received by filter
0 packets dropped by kernel
11:22:36.264415 IP (tos 0x0, ttl 64, id 9890, offset 0, flags [DF], proto TCP (6), length 60)
192.168.1.45.36302 > 192.169.6.241.48748: Flags [S], cksum 0xb9fd (correct), seq 2314096459, win 29200, options [mss 1460,sackOK,TS val 8285329 ecr 0,nop,wscale 5], length 0
0x0000: 4500 003c 26a2 4000 4006 8aaa c0a8 012d E..<&.@[email protected]
0x0010: c0a9 06f1 8dce be6c 89ee 4f4b 0000 0000 .......l..OK....
0x0020: a002 7210 b9fd 0000 0204 05b4 0402 080a ..r.............
0x0030: 007e 6c91 0000 0000 0103 0305 .~l.........
11:22:37.245654 IP (tos 0x0, ttl 64, id 4740, offset 0, flags [DF], proto TCP (6), length 60)
192.168.1.48.33514 > 192.169.6.241.48748: Flags [S], cksum 0x6562 (correct), seq 3083763706, win 29200, options [mss 1460,sackOK,TS val 8285566 ecr 0,nop,wscale 5], length 0
0x0000: 4500 003c 1284 4000 4006 9ec5 c0a8 0130 E..<..@[email protected]
0x0010: c0a9 06f1 82ea be6c b7ce 7ffa 0000 0000 .......l........
0x0020: a002 7210 6562 0000 0204 05b4 0402 080a ..r.eb..........
0x0030: 007e 6d7e 0000 0000 0103 0305 .~m~........
11:22:38.244593 IP (tos 0x0, ttl 64, id 4741, offset 0, flags [DF], proto TCP (6), length 60)
192.168.1.48.33514 > 192.169.6.241.48748: Flags [S], cksum 0x64fe (correct), seq 3083763706, win 29200, options [mss 1460,sackOK,TS val 8285666 ecr 0,nop,wscale 5], length 0
0x0000: 4500 003c 1285 4000 4006 9ec4 c0a8 0130 E..<..@[email protected]
0x0010: c0a9 06f1 82ea be6c b7ce 7ffa 0000 0000 .......l........
0x0020: a002 7210 64fe 0000 0204 05b4 0402 080a ..r.d...........
0x0030: 007e 6de2 0000 0000 0103 0305 .~m.........
11:22:40.244595 IP (tos 0x0, ttl 64, id 4742, offset 0, flags [DF], proto TCP (6), length 60)
192.168.1.48.33514 > 192.169.6.241.48748: Flags [S], cksum 0x6436 (correct), seq 3083763706, win 29200, options [mss 1460,sackOK,TS val 8285866 ecr 0,nop,wscale 5], length 0
0x0000: 4500 003c 1286 4000 4006 9ec3 c0a8 0130 E..<..@[email protected]
0x0010: c0a9 06f1 82ea be6c b7ce 7ffa 0000 0000 .......l........
0x0020: a002 7210 6436 0000 0204 05b4 0402 080a ..r.d6..........
0x0030: 007e 6eaa 0000 0000 0103 0305 .~n.........
^C
4 packets captured
5 packets received by filter
0 packets dropped by kernel
Это ANTBLEED VIRUS CLONE!
Что он делает:
Зараженный майнер загружается и подключится к 192.169.6.241 через порт: 48748 после подключения майнер удаленно переключит хешрейт на другой пул, он же dev fee (BOT NETWORK)
«192.169.6.241» НЕ ВАША ЛОКАЛЬНАЯ СЕТЬ ... Это хостинговая компания, размещающая вирус
Затем вирус изменит любой пароль SSH на локальном устройстве, а затем начнет сканирование сети и попытается установить себя на других асиках
Вы можете определитьнесколькими способами, что этот вирус находится в вашей сети:
1. что WEBUI для асика будет показывать свою страницу состояния очень медленно! это происходит из-за 100% загрузки процессора и модифицированного программного обеспечения bminer, которое вшито в асик.
2. Ваш асик показывает ошибки HW на всех чипах, это связано с тем, что модифицированный bminer разгоняет асик, чтобы повысить скорость хэширования для большего профита!
Проверьте ваш асик или маршрутизатор на наличие установленного соединения с: 192.169.6.241 - если оно присутствует, у вас есть вирус
Решения:
1. ЗАБЛОКИРОВАТЬ ВЕСЬ ТРАФИК до 192.169.6.0/24 в вашей сети, а если вы не можете заблокировать подсети, заблокируйте все протоколы 192.169.6.241.
2. Отключите своих асики от сети
3. Измените пароли на всех ваших асиках, не оставляйте пароль по умолчанию
4. Воспользуйтесь SD-картой и установите последнюю версию прошивки от вашего производителя асика.
Откуда взялся вирус? Неизвестно, я недавно купил 3 Antminer S9 с eBay и тестил их на испытательном стенде, когда это заметил. Оказалось, что асики работали с последней прошивкой bitmain от мая/2019 года.