прошивка для s9 vnish 3.8.6 c вирусом???

[dr. Nick]

Всем привет.

Использую прошивку от vnihs-а Antminer-S9-3.8.6-Antivirus.tar, качал с http://vnish.net/

Пользуюсь ей уже несколько месяцев.

Два дня назад на 2 устройствах поменялись пулы на stratum+tcp://sha256.hk.nicehash.com:3334 и воркер 3HFreBa2MLW38mV8KrLsURPgGwBcq2xLhw

подумал что либо вирус либо глюк и сбросились пулы допустим на по умолчанию.

Поменять не удалось, забиваешь свой пул и воркер и прошивка меняет пул на найс и левый воркер.

после прошивки по новой на туже версию от vnish все стало нормально (забиваешь пул и воркер сохраняешь и работает)

Через день та же ситуация еще на 4 асиках, причем один из перепрошитых с проблемой снова заразился. Снова перепрошивка поверх (без танцев с флешкой) той же прошивкой  от vnihs-а Antminer-S9-3.8.6-Antivirus.tar и все нормально.

 

Сегодня 5 асиков с такой проблемой.

Причем я не понимаю как: пароль на веб поменян, доступ по SSH закрыт. После первого заражения поменял все порты на закрытом SSH на нестандартный (мало ли вдруг бегунок в вебморде не работает)

доступ в инет по мобильной йоте, ip динамический, ломать удаленку на ноутбук с которого делаю настройку вряд ли бы кто стал озадачиваться слишком сложно.

к тому же в этом цеху помимо 24шт. s9 с паролем поменяным и SSH отключенной еще 11 L3+ с прошивкой от Bliss c паролем root и открытой SSH на стандартном 22 порту.

Шить все с флешки это выход, но не разобравшись в проблеме это как лечить простуду крематорием.

 

вопросы:

- может кто то сталкивался с подобной проблемой на прошивках от vnish-а и поможет с решением более удобным чем шить все с флешки.

- в чем причина, пароль на веб поменян, SSH отключен, КАК?

 

скрины и лог:

 

 

18-12-2019_13.2.txt

Изменено 18 дек 2019, 05:26 пользователем dr. Nick

[dr. Nick]

Вроде вылечил S9!

после последней прошивки на Antminer-S9(i,j)+_Pro_v5.0_rc8 работает уже больше 6 часов.

 

что помогло - вот это тема https://forum.bits.media/index.php?/topic/153064-лечение-antminer-s9-t9-l3-полная-инструкция/

что делал:

- изолировал сеть с зараженными асиками на старом DIR-100 и все дальнейшие действия только в изолированной сети. Настроил выход в общую сеть с остальными асиками через WAN порт. т.к. до сих пор не понимаю как заразился (прошивка vnish 3.8.6., пароль менял, SSH закрыт и порт по умолчанию изменен ). Возможно в изоляции и дальнейшей прошивке через web интерфейс без сохранения профиля и есть решение проблемы. Прошивки в общей сети не помогали либо помогали на короткое время (по новой заражались в общей сети, но как пароль и ssh закрыт)    

- прошил Antminer-S9(i,j)+_Pro_v5.0_rc8 без сохранения настроек

- далее включаем SSH и через программу Winscp заходим и сносим файлы  /config/ bNminer.conf (тут после перепрошивки пулы по умолчанию были - снес на всякий случай) и /var/lib/opkg/alternatives/nandwrite, других файлов указанных в описании у меня не было (build, flash_erase, egrep)

- настраиваем свои пулы и воркеры, меняем пароль, отключаем ssh

- все!!! Ничего прошивать с sd карты не пришлось и это отлично, т.к. в S9 абсолютно по дебильному сделан джампер который нужно переставить для перепрошивки.

До него нужно добираться либо пинцетом предварительно открутив маленькую железную накладку либо снимать полностью основание на котором прикручен передний вентилятор.

И тот и другой вариант по моему неудобный. L3+ шьются без заморочек с джамперами.

 

что не помогало:

- аппаратный reset - попробовал на нескольких асиках он вообще не работал

- прошивка через web-интерфейс (пробовал разные прошивки), через пол-часа-час снова прописывались левые пулы. Возможно заражались по новой в общей сети

- на одном устройстве пробовал прошить через карту - не вышло. Горят и красный и зеленый светодиод и не шьется.

 

Я так и не понял как заразился. Моя версия баг в прошивке vnish 3.8.6.

 

 

Изменено 19 дек 2019, 15:20 пользователем dr. Nick

[dr. Nick]

обновление 

отключились 17 асиков - зашел по удаленке - везде замена пула и воркера. Прошивка vnish 3.8.6 - пароль везде поменян, SSH порт заменен и закрыт. 

осталось 2 рабочих асика s9 на vnish 3.8.6

вылеченные асики в отдельной сети работают на Antminer-S9(i,j)+_Pro_v5.0_rc8

T9 и L3+ все работают.

На удаленке сменил IP у зараженных чтобы налево не майнили.

Лечить 17шт и прошивать оставшиеся 2шт буду уже завтра.

Подозрения что дыра в прошивке крепнут.

 

Если у кого то есть еще мысли по поводу того как так вышло - пишите. Я не понимаю как заразился!

 

[AlexDVision]

Добрый день. Я админ сайта www.vnish.net

К сожалению, вы не обращались в поддержку, хотя контакты на сайте есть.   Поздравляю, если у вас получилось остановить вирус, перепрошившись на МСК.  Статистика по вирусу на данный момент следующая:   Поражает на разных прошивках, включая битмайновские стоковые с закрытыми портами ssh и сложными паролями. Дыра не в прошивке а на уровне ядра линукс. Насколько мне известно, есть уже отчеты и о пораженных асиках на прошивке МСК. В скачанной вами прошивке VNISH есть заплатка от последнего антбилда, гулявшего по сети осенью. Описанный вами вирус появился в сети несколько дней назад и в данный момент ищем противоядие.  В следующий раз прошу вас для начала хотя-бы обратиться в поддержку. Спасибо за понимание.

[dr. Nick]

On 12/20/2019 at 4:26 PM, AlexDVision said:

Добрый день. Я админ сайта www.vnish.net

К сожалению, вы не обращались в поддержку, хотя контакты на сайте есть.   Поздравляю, если у вас получилось остановить вирус, перепрошившись на МСК.  Статистика по вирусу на данный момент следующая:   Поражает на разных прошивках, включая битмайновские стоковые с закрытыми портами ssh и сложными паролями. Дыра не в прошивке а на уровне ядра линукс. Насколько мне известно, есть уже отчеты и о пораженных асиках на прошивке МСК. В скачанной вами прошивке VNISH есть заплатка от последнего антбилда, гулявшего по сети осенью. Описанный вами вирус появился в сети несколько дней назад и в данный момент ищем противоядие.  В следующий раз прошу вас для начала хотя-бы обратиться в поддержку. Спасибо за понимание.

Спасибо за ответ. Очень ждем прошивку с решением этой проблемы. Да, асики на прошивке от мск в зараженной сети тоже были подвержены вирусу - пытался лечить просто перепрошивкой на МСК помогало не надолго - только изоляция в другую сеть от зараженных.

есть версии как вообще этот вирус распространяется - может какие-то порты нужно закрывать на роутере?

[mrCS]

Поставьте последнюю от Мск 5.1, там закрыты для вируса все пути, есть расписание для переключения профилей, графики и пр. 

 

На вниш вирус просто ее апгрейдит на себя, так как нет защиты подписью. 

[MinerANT]

19.01.2020 в 11:31, mrCS сказал:

Поставьте последнюю от Мск 5.1, там закрыты для вируса все пути, есть расписание для переключения профилей, графики и пр. 

 

На вниш вирус просто ее апгрейдит на себя, так как нет защиты подписью. 

а потом пишут "зачем подпись, без разницы есть или нет" .

[AlexDVision]

Как сказал один восточный мудрец:  Если долго сидеть на берегу реки, то увидишь как проплывут трупы твоих врагов.  А вот теперь мой ответ.  Уверены-ли вы все, что МСК с сигнатурой, а также сток с сигнатурой не хватают вирус? ))    

Для понимающих скажу лишь одно:   Любая прошивка, сигнатура и т.п - находятся на уровне выше ядра, а само ядро имеет уязвимость.  И она прекрасно используется для подгрузки команд.  И единственный способ защиты - установка нормального роутера с блокировкой всех трафиков кроме соединения со стратумом пула.  Если кто-то готов поспорить а не чесать языком - веллком!

[mrCS]

Да плывите себе дальше...

 

Пока не было случаев чтоб на неинфицированные асики с прошивками мск с подписью залез вирус. 

 

Если антбилд уже есть, надёжный путь от него избавиться только заменой контрольки или перепаять проц и шить над.

 

Днс тоже тогда закрыть надо? так как он через днс тоннель делает.

[AlexDVision]

В смысле, не было случаев с МСК?. Их полно. И с МСК и с последними стоковыми прошивками, где также стоит сигнатура.    Зачем здесь дезинформировать людей?  Про проц и НАНД все верно. Также ДНС,  WGET и многое другое. 

 

Мне вообще нравится, когда в тему о глобальной проблеме залезает представитель конкурентов и тут-же рекламирует свой продукт.  Неужели все так плохо там, что нужно самоутверждаться об других?))

 

[Sunhar Bima]

10.08.2020 в 13:35, mrCS сказал:

перепаять проц и шить над.

если не трудно можете ли дать инструкцию (объяснить) по прошивке нанд ,

сейчас стойт вирусная прошивка под видом стока (заблокирован SSH)

1 - каждые 5-6мин уходит в ребут,

2 - SD слот заблокирован полностью(две лампы)

3 - uart говорит что kernel не запускается.

4 - reset возвращает на вирус.

 

Стоял самый свежий vnihs S9 3.8.6 (тяжёлый пароль, shh закрыт, порт  ssh 12 значный,) , сейчас примерно 4 из 5 завирусованных плат.

 

есть программатор nand платы и адаптер к нему.

обязательно ли менять процессор или можно снять дамп с рабочего nand и записать на не рабочий?

большое спасибо. 

 

 

Изменено 14 авг 2020, 06:18 пользователем Sunhar Bima

[1kvi1]

19.01.2020 в 17:31, mrCS сказал:

Поставьте последнюю от Мск 5.1, там закрыты для вируса все пути, есть расписание для переключения профилей, графики и пр. 

 

На вниш вирус просто ее апгрейдит на себя, так как нет защиты подписью. 

на л3 есть прошивка с расписанием?