Перейти к содержимому
Drawde

Взлом AntMiner S7

Рекомендуемые сообщения

В 7 утра, мой  AntMiner S7 хакнули... просто сменили настройки пулов и воркеров....

 

 

post-14756-0-70754600-1504427957_thumb.png

 

 

Слабые места моего AntMiner:

Дефолтные пароли, как для доступа через http так и SSH....  лох согласен!

 

Доступ управления майнером  открыт через:

1. Локальную сеть(в которой 4 PC и 4 смартфона и планшета)(DrWeb установлен) 

2. TeamViewer (установлен на одном из PC локальной сети)

3. Через DDNS (открыты http и ssh)

4. M's Miner Monitor v5.3b1(модифицированная версия для работы с S7) я так понимаю что эта программа общается по порту 4028

 

 

post-14756-0-73873600-1504428026_thumb.png

 

 

 

Первым делом я поменял пароль администратора AntMiner, восстановил свои настройки пулов...

Через некоторое время взлом повторился, во второй раз злоумышленник поменял настройки пулов и ssh пароль! (Странно, но после отключения питания настройки пулов и пароли восстановились.... подозреваю, что злоумышленник удаленно загружает конфигурации и чтобы усыпить мою бдительность временно загрузил мою, перезагрузка совпала с этим событием поэтому пулы и пароли восстановились)

Сейчас я отключил DDNS доступ, пока жду...

 

В голове ряд вопросов:

1. Как обезопасить себя от подобного впредь?

2. Как злоумышленник узнал о майнере(его ip адресу и т.п. данные для подключения) ?

3. Как поменять SSH пароль

4. Как аппаратно сбрасывать все настройки? (на случай если пароли будут заменены) 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

https://forum.bits.media/index.php?/topic/18603-antminer-vse-modeli-voprosy-pomosch-obsuzhdenie/page-758?p=411773&do=findComment&comment=411773

и ниже

за сутки можно весь интернет на наличие асиков пропарсить. 4028 закрываешь и все. Либо не асик, а комп у тебя вскрыли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

Да, у меня тоже было похожее, 80 порт на асике у меня открыт только для определенных IP. Во время перенастройки роутера, буквально 30 минут он был открыт для всего мира - в результате взлом, и прописан тот же пул с таким же юзернеймом как у вас.

 

В S7 пароль от SSH не совпадает с паролем от http, в итоге даже если пароль на вебке поменян - при открытом ssh можно зайти по root / admin и настроить все что угодно. 

 

API что на 4028 по дефолту только read only, но даже в случае права на запись - можно сменить настройки пула, но не поменять пароль.

 

Откройте веб / ssh  только для определенных IP и это уже полностью обезопасит асик. Если конечно у вас не взломан сам комп =)

Изменено пользователем hippie

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)
Либо не асик, а комп у тебя вскрыли.

Комп во время взлома был выключен..

4028 закрываешь и все

Спасибо, закрыл порт 4028 на роутере

открыт только для определенных IP

отпадает, частенько захожу со смартфона..

при открытом ssh можно зайти по root / admin и настроить все что угодно

у меня иногда, http доступ перестает работать(как локально, так и удаленно), поэтому приходится перегружать удаленно по SSH, и к сожалению, через смартфон по DDNS имени... :facepalm:

 

Реально изменить пароль доступа по ssh?

 


Мне интересно, злоумышленник знает мое DDNS имя, или IP? 

Почему для доступа к http или ssh мне пришлось настраивать "проброс портов" на роутере, а 4028 работает "автоматом"?

Изменено пользователем Drawde

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

Реально изменить пароль доступа по ssh?
нет, он в плисине, а к ней нет доступа

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)
но не поменять пароль.
нет, он в плисине, а к ней нет доступа

 

Я несколько раз пробовал зайти по ssh с root / admin, пароль не проходил! (помогла только перезагрузка методом отключения 220в)

Изменено пользователем Drawde

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Drawde, у них бывает такой баг, еще со времен S5

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Имеет смысл блокировать на роутере 139.59.36.141 auth.minerlink.com ?

http://www.antbleed.com/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Drawde, я не заморачивался.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

Продолжение....

Порт 4028 у меня закрыт на роутере....

 

 

 

e2050b2c783a_f78c055656dff8dc8d142743f80

 

 

 

Взлом повторился!

Симптомы:

1. Чужие настройки пулов

2. Но на этот раз злоумышленник сменил WEB пароль!

 

Доступ по SSH (по 22 порту) и API (по 4028 порту) работает (внутри сети)

 

Решение:

Возврат к настройкам по умолчанию:

Делается так: при включенном майнере, зажать (до перезагрузки) спичкой кнопку спрятанную в отверстии справа от ethernet разъема...

(мой роутер присваевает IP адрес AntMiner-у  всегда один и тот же(привязка по "MAC" адресу)... у кого иначе потребуется искать новый ip адрес AntMiner)

 

 

Актуальные вопросы:

1. как защитится от подобного?

2. как удаленно по SSH сменить WEB пароль или сбросить к настройкам по умолчанию?

 

смена пароля SSH доступа:

 

 

зайти по ssh дефолтным доступом:

логин: root

пароль: admin

passwd
установить новый пароль

ввести повторно новый пароль

cp /etc/shadow /config/shadow
reboot
 

 

 

Изменено пользователем Drawde

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

взламывают только асики на белых IP? 

если у меня нат от провайдера, доступа снаружи не может быть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

взламывают только асики на белых IP?

У меня динамически присваиваемый IP... второй раз взламывают...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас


  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×