Jump to content
Drawde

Взлом AntMiner S7

Recommended Posts

В 7 утра, мой  AntMiner S7 хакнули... просто сменили настройки пулов и воркеров....

 

 

post-14756-0-70754600-1504427957_thumb.png

 

 

Слабые места моего AntMiner:

Дефолтные пароли, как для доступа через http так и SSH....  лох согласен!

 

Доступ управления майнером  открыт через:

1. Локальную сеть(в которой 4 PC и 4 смартфона и планшета)(DrWeb установлен) 

2. TeamViewer (установлен на одном из PC локальной сети)

3. Через DDNS (открыты http и ssh)

4. M's Miner Monitor v5.3b1(модифицированная версия для работы с S7) я так понимаю что эта программа общается по порту 4028

 

 

post-14756-0-73873600-1504428026_thumb.png

 

 

 

Первым делом я поменял пароль администратора AntMiner, восстановил свои настройки пулов...

Через некоторое время взлом повторился, во второй раз злоумышленник поменял настройки пулов и ssh пароль! (Странно, но после отключения питания настройки пулов и пароли восстановились.... подозреваю, что злоумышленник удаленно загружает конфигурации и чтобы усыпить мою бдительность временно загрузил мою, перезагрузка совпала с этим событием поэтому пулы и пароли восстановились)

Сейчас я отключил DDNS доступ, пока жду...

 

В голове ряд вопросов:

1. Как обезопасить себя от подобного впредь?

2. Как злоумышленник узнал о майнере(его ip адресу и т.п. данные для подключения) ?

3. Как поменять SSH пароль

4. Как аппаратно сбрасывать все настройки? (на случай если пароли будут заменены) 

 

 

Share this post


Link to post
Share on other sites

https://forum.bits.media/index.php?/topic/18603-antminer-vse-modeli-voprosy-pomosch-obsuzhdenie/page-758?p=411773&do=findComment&comment=411773

и ниже

за сутки можно весь интернет на наличие асиков пропарсить. 4028 закрываешь и все. Либо не асик, а комп у тебя вскрыли.

Share this post


Link to post
Share on other sites

Да, у меня тоже было похожее, 80 порт на асике у меня открыт только для определенных IP. Во время перенастройки роутера, буквально 30 минут он был открыт для всего мира - в результате взлом, и прописан тот же пул с таким же юзернеймом как у вас.

 

В S7 пароль от SSH не совпадает с паролем от http, в итоге даже если пароль на вебке поменян - при открытом ssh можно зайти по root / admin и настроить все что угодно. 

 

API что на 4028 по дефолту только read only, но даже в случае права на запись - можно сменить настройки пула, но не поменять пароль.

 

Откройте веб / ssh  только для определенных IP и это уже полностью обезопасит асик. Если конечно у вас не взломан сам комп =)

Edited by hippie

Share this post


Link to post
Share on other sites
Либо не асик, а комп у тебя вскрыли.

Комп во время взлома был выключен..

4028 закрываешь и все

Спасибо, закрыл порт 4028 на роутере

открыт только для определенных IP

отпадает, частенько захожу со смартфона..

при открытом ssh можно зайти по root / admin и настроить все что угодно

у меня иногда, http доступ перестает работать(как локально, так и удаленно), поэтому приходится перегружать удаленно по SSH, и к сожалению, через смартфон по DDNS имени... :facepalm:

 

Реально изменить пароль доступа по ssh?

 


Мне интересно, злоумышленник знает мое DDNS имя, или IP? 

Почему для доступа к http или ssh мне пришлось настраивать "проброс портов" на роутере, а 4028 работает "автоматом"?

Edited by Drawde

Share this post


Link to post
Share on other sites

 

 

Реально изменить пароль доступа по ssh?
нет, он в плисине, а к ней нет доступа

Share this post


Link to post
Share on other sites
но не поменять пароль.
нет, он в плисине, а к ней нет доступа

 

Я несколько раз пробовал зайти по ssh с root / admin, пароль не проходил! (помогла только перезагрузка методом отключения 220в)

Edited by Drawde

Share this post


Link to post
Share on other sites

@Drawde, у них бывает такой баг, еще со времен S5

Share this post


Link to post
Share on other sites

Продолжение....

Порт 4028 у меня закрыт на роутере....

 

 

 

e2050b2c783a_f78c055656dff8dc8d142743f80

 

 

 

Взлом повторился!

Симптомы:

1. Чужие настройки пулов

2. Но на этот раз злоумышленник сменил WEB пароль!

 

Доступ по SSH (по 22 порту) и API (по 4028 порту) работает (внутри сети)

 

Решение:

Возврат к настройкам по умолчанию:

Делается так: при включенном майнере, зажать (до перезагрузки) спичкой кнопку спрятанную в отверстии справа от ethernet разъема...

(мой роутер присваевает IP адрес AntMiner-у  всегда один и тот же(привязка по "MAC" адресу)... у кого иначе потребуется искать новый ip адрес AntMiner)

 

 

Актуальные вопросы:

1. как защитится от подобного?

2. как удаленно по SSH сменить WEB пароль или сбросить к настройкам по умолчанию?

 

смена пароля SSH доступа:

 

 

зайти по ssh дефолтным доступом:

логин: root

пароль: admin

passwd
установить новый пароль

ввести повторно новый пароль

cp /etc/shadow /config/shadow
reboot
 

 

 

Edited by Drawde

Share this post


Link to post
Share on other sites

взламывают только асики на белых IP? 

если у меня нат от провайдера, доступа снаружи не может быть?

Share this post


Link to post
Share on other sites

 

 

взламывают только асики на белых IP?

У меня динамически присваиваемый IP... второй раз взламывают...

Share this post


Link to post
Share on other sites

Смените порты у веба и у ssh . Только запомните на какой поставили порт 

Edited by Desconect

Share this post


Link to post
Share on other sites
В 20.02.2018 в 08:43, Desconect сказал:

Смените порты у веба и у ssh . Только запомните на какой поставили порт 

а как это сделать?

Share this post


Link to post
Share on other sites

Попробуй 

chmod 400 /config/cgminer.conf

А вообще, если не умеешь порты менять, убери белый ip

 

Edited by booz

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...