Взлом AntMiner S7

[Drawde]

В 7 утра, мой  AntMiner S7 хакнули... просто сменили настройки пулов и воркеров....

 

 

 

 

Слабые места моего AntMiner:

Дефолтные пароли, как для доступа через http так и SSH....  лох согласен!

 

Доступ управления майнером  открыт через:

1. Локальную сеть(в которой 4 PC и 4 смартфона и планшета)(DrWeb установлен) 

2. TeamViewer (установлен на одном из PC локальной сети)

3. Через DDNS (открыты http и ssh)

4. M's Miner Monitor v5.3b1(модифицированная версия для работы с S7) я так понимаю что эта программа общается по порту 4028

 

 

 

 

 

Первым делом я поменял пароль администратора AntMiner, восстановил свои настройки пулов...

Через некоторое время взлом повторился, во второй раз злоумышленник поменял настройки пулов и ssh пароль! (Странно, но после отключения питания настройки пулов и пароли восстановились.... подозреваю, что злоумышленник удаленно загружает конфигурации и чтобы усыпить мою бдительность временно загрузил мою, перезагрузка совпала с этим событием поэтому пулы и пароли восстановились)

Сейчас я отключил DDNS доступ, пока жду...

 

В голове ряд вопросов:

1. Как обезопасить себя от подобного впредь?

2. Как злоумышленник узнал о майнере(его ip адресу и т.п. данные для подключения) ?

3. Как поменять SSH пароль

4. Как аппаратно сбрасывать все настройки? (на случай если пароли будут заменены) 

 

 

[Lexis77]

https://forum.bits.media/index.php?/topic/18603-antminer-vse-modeli-voprosy-pomosch-obsuzhdenie/page-758?p=411773&do=findComment&comment=411773

и ниже

за сутки можно весь интернет на наличие асиков пропарсить. 4028 закрываешь и все. Либо не асик, а комп у тебя вскрыли.

[hippie]

Да, у меня тоже было похожее, 80 порт на асике у меня открыт только для определенных IP. Во время перенастройки роутера, буквально 30 минут он был открыт для всего мира - в результате взлом, и прописан тот же пул с таким же юзернеймом как у вас.

 

В S7 пароль от SSH не совпадает с паролем от http, в итоге даже если пароль на вебке поменян - при открытом ssh можно зайти по root / admin и настроить все что угодно. 

 

API что на 4028 по дефолту только read only, но даже в случае права на запись - можно сменить настройки пула, но не поменять пароль.

 

Откройте веб / ssh  только для определенных IP и это уже полностью обезопасит асик. Если конечно у вас не взломан сам комп =)

Edited 3 Sep 2017, 09:34 by hippie

[Drawde]

Либо не асик, а комп у тебя вскрыли.

Комп во время взлома был выключен..

4028 закрываешь и все

Спасибо, закрыл порт 4028 на роутере

открыт только для определенных IP

отпадает, частенько захожу со смартфона..

при открытом ssh можно зайти по root / admin и настроить все что угодно

у меня иногда, http доступ перестает работать(как локально, так и удаленно), поэтому приходится перегружать удаленно по SSH, и к сожалению, через смартфон по DDNS имени... :facepalm:

 

Реально изменить пароль доступа по ssh?

 

---

Мне интересно, злоумышленник знает мое DDNS имя, или IP? 

Почему для доступа к http или ssh мне пришлось настраивать "проброс портов" на роутере, а 4028 работает "автоматом"?

Edited 3 Sep 2017, 19:46 by Drawde

[Lexis77]

 

 

Реально изменить пароль доступа по ssh?

нет, он в плисине, а к ней нет доступа

[Drawde]

но не поменять пароль.

нет, он в плисине, а к ней нет доступа

 

Я несколько раз пробовал зайти по ssh с root / admin, пароль не проходил! (помогла только перезагрузка методом отключения 220в)

Edited 3 Sep 2017, 10:00 by Drawde

[Lexis77]

@Drawde, у них бывает такой баг, еще со времен S5

[Drawde]

Имеет смысл блокировать на роутере 139.59.36.141 auth.minerlink.com ?

http://www.antbleed.com/

[Lexis77]

@Drawde, я не заморачивался.

[Drawde]

Продолжение....

Порт 4028 у меня закрыт на роутере....

 

 

 

 

 

 

Взлом повторился!

Симптомы:

1. Чужие настройки пулов

2. Но на этот раз злоумышленник сменил WEB пароль!

 

Доступ по SSH (по 22 порту) и API (по 4028 порту) работает (внутри сети)

 

Решение:

Возврат к настройкам по умолчанию:

Делается так: при включенном майнере, зажать (до перезагрузки) спичкой кнопку спрятанную в отверстии справа от ethernet разъема...

(мой роутер присваевает IP адрес AntMiner-у  всегда один и тот же(привязка по "MAC" адресу)... у кого иначе потребуется искать новый ip адрес AntMiner)

 

 

Актуальные вопросы:

1. как защитится от подобного?

2. как удаленно по SSH сменить WEB пароль или сбросить к настройкам по умолчанию?

 

смена пароля SSH доступа:

 

 

зайти по ssh дефолтным доступом:

логин: root

пароль: admin

passwd

установить новый пароль

ввести повторно новый пароль

cp /etc/shadow /config/shadow
reboot

 

 

 

Edited 8 Sep 2017, 07:46 by Drawde

[antontmn]

взламывают только асики на белых IP? 

если у меня нат от провайдера, доступа снаружи не может быть?

[Drawde]

 

 

взламывают только асики на белых IP?

У меня динамически присваиваемый IP... второй раз взламывают...

[Desconect]

Смените порты у веба и у ssh . Только запомните на какой поставили порт 

Edited 20 Feb 2018, 05:43 by Desconect

[Drawde]

В 20.02.2018 в 08:43, Desconect сказал:

Смените порты у веба и у ssh . Только запомните на какой поставили порт 

а как это сделать?

[booz]

Попробуй 

chmod 400 /config/cgminer.conf

А вообще, если не умеешь порты менять, убери белый ip

 

Edited 24 May 2018, 15:01 by booz