1.概述POW（ProofofWork，工作量证明）是一种通过消耗计算能力来解决复杂数学问题，从而达到共识的机制。它是最早应用于区块链技术的共识算法，最著名的应用便是比特币网络。 2.工作原理在POW机制中，节点（通常称为矿工）通过竞争性地解决一个复杂的数学难题（即哈希运算）来获得记账权

文章目录一、什么是比特币二、什么是挖矿？三、什么是去中心化四、什么是区块链？五、比特币与区块链的关系？六、部分技术展示Go语言实现pow协议举例说明Golang实现PoW协议一、什么是比特币比特币是由一系列概念和技术作为基础构建的数字货币生态系统。狭义的“比特

背景根据某安全公司安全威胁检测到在2019年中，恶意软件拦截量为181.07亿次，其中挖矿类恶意软件感染占比最多（58%）,其次为远程木马（占比14%），企业或组织内文件共享等机制也使得感染型病毒的比例在9%左右。恶意软件一哥挖矿软件攻击势头非常猛，加密货币挖矿流量较去年增长约100%，在类型上

Day\(-\infty\)APIO被补录了？Day\(-\infty+1\)听说要报名THUSC？Day\(-\infty+10^9\)考完期中紧张地跑到机房来看看THU结果，结果学习CCF的左右（Day\(-\infty+10^9+1\)电脑一开屏保，上面赫然一行字：打印报到证-通过差点把心脏吓出来Day\(-1\)不想上whk，我

参考：https://blog.csdn.net/qq_59201520/article/details/129816447接上篇《挖矿病毒消灭记》传送门项目场景：叮咚，一条短信打破了安静平和的氛围。啊？咋又被挖矿了，现在在外面，回头要赶紧把进程关了问题描述回到家赶紧打开电脑输入命令行top，果然不出所料cpu飙升到200%，找到pid，

1、Top命令线程运行情况，找到kdevtmpfsi对应的进程ID2、使用 kill-9PID3、过段时间再次被重启，说明有守护线程systemctlstatusPID查看其关联的守护进程，/tmp/kinsing  /tmp/kdevtmpfsi删除rm-rf/tmp/kinsingrm-rf/tmp/kdevtmpfsi4、crontab-l 命令先看看

记录一次项目中挖矿病毒的经历这是黑客使用的批量蔓延病毒的工具，通过如下脚本[[email protected]]#cat/home/pischi/.bash_historycd/root/nvidia-smi;ls-a;cd.cfg;ls-a;wc-lip./key20-fippass22"nproc;nvidia-smi;rm-rf.cfg;mkdir.cfg;cd.cfg;wget193.42

目录前言区块链和挖矿相关概念挖矿木马挖矿协议StratumStratum工作过程前言之前做了一个关于“挖矿行为检测”的大创训练项目，在这里记录一下我关于挖矿检测相关内容的学习。区块链和挖矿相关概念区块链首先需要了解一些关于区块链的内容。注意，区块链和挖矿是两个紧密相关但又

简介应急响应工程师在内网服务器发现有台主机cpu占用过高，猜测可能是中了挖矿病毒，请溯源分析，提交对应的报告给应急小组虚拟机账号密码rootwebsecyjxyweb端口为80811、黑客的IP是？flag格式：flag{黑客的ip地址}，如：flag{127.0.0.1}2、黑客攻陷网站的具体时间是？flag格式：flag

一、背景概述故事的起因于26号下午做渗透测试时，登录跳板机发现CPU进程拉满到200%，qiao哥看了一眼直接说是XMR挖矿，这句话勾引起我的兴趣，由于应急是我的薄弱项也没有时间深入学习，所以有本篇应急分析文章。市面上存在很多关于XMR门罗币挖矿的教程，这些教程可能会被攻击者恶意利用来进

一、优先排查netstat-ntpl//恶意连接排查cat/etc/passwd//异常账户排查cat/etc/shadowcat/etc/rc.d/rc.local/init.d等//开机启动项排查chkconfig--list//同等上面，为了全面可以使用此命令复查下crontab-l//计划任务排查cat/etc/hosts//hostst文件排查ca

1.应急响应的流程1.1.为什么会有应急响应？在工作过程中，会遇到突发的情况，比如：DOS攻击，渗透攻击，病毒感染，需要立即将这些问题清除掉，恢复正常的生产秩序。这个过程就是应急响应。1.2.流程收集信息：收集客户的信息，以及遭遇情况的表现症状。判断类型：判断是否为安全事件，是哪

最近在分析挖矿木马，发现挖矿木马在入侵后都会对系统自带的部分命令进行替换或劫持。最常见的就是将wget和curl命令重命名。在多个挖矿木马同时竞争的情况下，没有wget和curl该如何远程下载挖矿脚本呢？直接看挖矿脚本是如何实现的。这里面涵盖了很多知识点，非常值得学习！funct

下面是结合网上论坛针对日志分析溯源的理解现阶段大部分企业都会上日志审计设备，在配上流量分光，还有各类IDS、WAF等设备日志，对安全溯源分析十分方便，但在日常工作中，免不了要直接看服务器相关请求日志的情况，这个时候就需要我们自身具备日志分析的能力了。一、日志分析流程1、统计

kswapd0挖矿病毒的发现与清除BobAnkh​清华大学/网文爱好者/游戏爱好者/猫猫爱好者 26人赞同了该文章写下这篇博客的原因是实验室的服务器在安装docker之后不幸感染上了挖矿病毒，便将发现与清除的方法记录于此，如有错漏，恳请指正本文同样发于本人的bl

Linux Centos7环境下的一台服务器CPU直接被打满，上服务器top命令看到了一个未知的kdevtmpfsi疯狂占用中，情况如下图：同时阿里云检测平台，也同步提示对应容器出现的问题 问题原因：postgresRCE导致h2Miner蠕虫病毒，其利用Redis未授权或弱口令作为入口，使用主从同步的方

systemctldisablemyservice.servicesystemctlstopmyservice.servicesystemctlstatusmyservice.servicerm-fr/usr/lib/systemd/system/myservice.servicerm-fr/root/.cfgrm-fr/usr/bin/mslogrm-fr/usr/bin/playersed-i/disown/d/var/spool/cron/root

有一台vps被弱口令上马了翻来翻去找到个二进制文件如下前言搜main函数关键字可以判断是用shc加密shell脚本生成的二进制文件在0000000000400F7E位置函数，找到了加载shell命令的位置shc部分源码/*shc.c*/​/***Thissoftwarecontainsanadhocversionofthe

一、实验目的了解区块链挖矿原理及过程。二、实验器材pycharm+python3.11三、实验内容实验要求：在前面已经配置好的实验环境和实验三编写的单向散列函数实现程序的基础给程序添加计时功能，进行下列实验：（1）找一个文件M，将文件中的汉字和标点符号用区位码代替生成一个数字字符串，如果

（1）编写一个脚本vi clean_host.sh  #!/bin/bashpid_cpu=`psaux|grep-vPID|sort-nr-k3|head-n1|awk'{print$2,$3,$11}'`pid=`echo$pid_cpu|awk'{print$1}'`cpu=`echo$pid_cpu|awk'{print$2}'`cmd=`echo$pid_cpu|awk'

前言最近我们团队为了研究数据湖相关的技术，在阿里云服务中购买了云服务器，但是突然被告警提示被挖矿，而且要在一定期限内解决挖矿问题，否则就会被关停服务。本篇记录了我们处理挖矿告警的过程，仅供参考。一、服务器为什么会被告警挖矿？云服务器中被恶意安装了脚本，然后脚本运行占用

ps：因为项目保密的原因部分的截图是自己在本地的环境复现。1.起因客户打电话过来说，公司web服务异常卡顿。起初以为是web服务缓存过多导致，重启几次无果后觉得可能是受到了攻击。起初以为是ddos攻击，然后去查看web服务器管理面板时发现网络链接很少，但是cpu占用高达99%，于是便怀疑是

 1 初始访问 2 执行执行命令/脚本2维护（恶意）进程稳定性13 持久化 4 特权提升进程注入25 防御绕过进程注入2文件（数据）混淆16 凭据访问获取主机账户（密码）17 披露网络连接

问题描述发现服务器的CPU和内存占用非常高，然后看了一下发现有几个异常的程序PIDUSERPRNIVIRTRESSHRS%CPU%MEMTIME+COMMAND12043root

本身因为做后端开发没事的时候希望搞点小东西，就买了一个腾讯云的服务器。昨天突然收到腾讯云发的告警信息，提示服务器被人非法登录了。这个ip我也查了下，不确定是不是固定ip。我看到这个第一时间想到的就是被人注入脚本进行挖矿了，（碰到过好多次了......