Перейти к содержимому

YoBit.Net

Фотография

Взлом AntMiner S7


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 11

#1 Drawde

Drawde

    Пользователь

  • Пользователи
  • PipPip
  • 99 сообщений
  • ГородКрасногорск

Отправлено 03 September 2017 - 11:41

В 7 утра, мой  AntMiner S7 хакнули... просто сменили настройки пулов и воркеров....

 

Скрытый текст

 

Слабые места моего AntMiner:

Дефолтные пароли, как для доступа через http так и SSH....  лох согласен!

 

Доступ управления майнером  открыт через:

1. Локальную сеть(в которой 4 PC и 4 смартфона и планшета)(DrWeb установлен) 

2. TeamViewer (установлен на одном из PC локальной сети)

3. Через DDNS (открыты http и ssh)

4. M's Miner Monitor v5.3b1(модифицированная версия для работы с S7) я так понимаю что эта программа общается по порту 4028

 

Скрытый текст

 

 

Первым делом я поменял пароль администратора AntMiner, восстановил свои настройки пулов...

Через некоторое время взлом повторился, во второй раз злоумышленник поменял настройки пулов и ssh пароль! (Странно, но после отключения питания настройки пулов и пароли восстановились.... подозреваю, что злоумышленник удаленно загружает конфигурации и чтобы усыпить мою бдительность временно загрузил мою, перезагрузка совпала с этим событием поэтому пулы и пароли восстановились)

Сейчас я отключил DDNS доступ, пока жду...

 

В голове ряд вопросов:

1. Как обезопасить себя от подобного впредь?

2. Как злоумышленник узнал о майнере(его ip адресу и т.п. данные для подключения) ?

3. Как поменять SSH пароль

4. Как аппаратно сбрасывать все настройки? (на случай если пароли будут заменены) 

 

 


  • 0

#2 Lexis77

Lexis77

    Дискурсмонгер

  • Администраторы
  • 13696 сообщений
  • ГородМосква

Отправлено 03 September 2017 - 11:52

https://forum.bits.m...773#entry411773

и ниже

за сутки можно весь интернет на наличие асиков пропарсить. 4028 закрываешь и все. Либо не асик, а комп у тебя вскрыли.


  • 1

#3 hippie

hippie

    Пользователь

  • Пользователи
  • PipPip
  • 61 сообщений
  • ГородКиев

Отправлено 03 September 2017 - 12:33

Да, у меня тоже было похожее, 80 порт на асике у меня открыт только для определенных IP. Во время перенастройки роутера, буквально 30 минут он был открыт для всего мира - в результате взлом, и прописан тот же пул с таким же юзернеймом как у вас.

 

В S7 пароль от SSH не совпадает с паролем от http, в итоге даже если пароль на вебке поменян - при открытом ssh можно зайти по root / admin и настроить все что угодно. 

 

API что на 4028 по дефолту только read only, но даже в случае права на запись - можно сменить настройки пула, но не поменять пароль.

 

Откройте веб / ssh  только для определенных IP и это уже полностью обезопасит асик. Если конечно у вас не взломан сам комп =)


Сообщение отредактировал hippie: 03 September 2017 - 12:34

  • 2

#4 Drawde

Drawde

    Пользователь

  • Пользователи
  • PipPip
  • 99 сообщений
  • ГородКрасногорск

Отправлено 03 September 2017 - 12:48

Либо не асик, а комп у тебя вскрыли.

Комп во время взлома был выключен..

4028 закрываешь и все

Спасибо, закрыл порт 4028 на роутере

открыт только для определенных IP

отпадает, частенько захожу со смартфона..

при открытом ssh можно зайти по root / admin и настроить все что угодно

у меня иногда, http доступ перестает работать(как локально, так и удаленно), поэтому приходится перегружать удаленно по SSH, и к сожалению, через смартфон по DDNS имени... :facepalm:

 

Реально изменить пароль доступа по ssh?

 

 

Мне интересно, злоумышленник знает мое DDNS имя, или IP? 

Почему для доступа к http или ssh мне пришлось настраивать "проброс портов" на роутере, а 4028 работает "автоматом"?


Сообщение отредактировал Drawde: 03 September 2017 - 22:46

  • 0

#5 Lexis77

Lexis77

    Дискурсмонгер

  • Администраторы
  • 13696 сообщений
  • ГородМосква

Отправлено 03 September 2017 - 12:56

Реально изменить пароль доступа по ssh?
нет, он в плисине, а к ней нет доступа
  • 1

#6 Drawde

Drawde

    Пользователь

  • Пользователи
  • PipPip
  • 99 сообщений
  • ГородКрасногорск

Отправлено 03 September 2017 - 12:58

но не поменять пароль.
нет, он в плисине, а к ней нет доступа

 

Я несколько раз пробовал зайти по ssh с root / admin, пароль не проходил! (помогла только перезагрузка методом отключения 220в)


Сообщение отредактировал Drawde: 03 September 2017 - 13:00

  • 0

#7 Lexis77

Lexis77

    Дискурсмонгер

  • Администраторы
  • 13696 сообщений
  • ГородМосква

Отправлено 03 September 2017 - 13:06

Drawde, у них бывает такой баг, еще со времен S5


  • 1

#8 Drawde

Drawde

    Пользователь

  • Пользователи
  • PipPip
  • 99 сообщений
  • ГородКрасногорск

Отправлено 03 September 2017 - 13:09

Имеет смысл блокировать на роутере 139.59.36.141 auth.minerlink.com ?

http://www.antbleed.com/


  • 0

#9 Lexis77

Lexis77

    Дискурсмонгер

  • Администраторы
  • 13696 сообщений
  • ГородМосква

Отправлено 03 September 2017 - 13:11

Drawde, я не заморачивался.


  • 1

#10 Drawde

Drawde

    Пользователь

  • Пользователи
  • PipPip
  • 99 сообщений
  • ГородКрасногорск

Отправлено 08 September 2017 - 08:02

Продолжение....
Порт 4028 у меня закрыт на роутере....
Скрытый текст

 
Взлом повторился!
Симптомы:
1. Чужие настройки пулов
2. Но на этот раз злоумышленник сменил WEB пароль!
 
Доступ по SSH (по 22 порту) и API (по 4028 порту) работает (внутри сети)
 
Решение:
Возврат к настройкам по умолчанию:
Делается так: при включенном майнере, зажать (до перезагрузки) спичкой кнопку спрятанную в отверстии справа от ethernet разъема...
(мой роутер присваевает IP адрес AntMiner-у  всегда один и тот же(привязка по "MAC" адресу)... у кого иначе потребуется искать новый ip адрес AntMiner)
 
 
Актуальные вопросы:
1. как защитится от подобного?
2. как удаленно по SSH сменить WEB пароль или сбросить к настройкам по умолчанию?
 
смена пароля SSH доступа:
Скрытый текст

Сообщение отредактировал Drawde: 08 September 2017 - 10:46

  • 0

#11 antontmn

antontmn

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 970 сообщений
  • ГородМосква

Отправлено 08 September 2017 - 08:20

взламывают только асики на белых IP? 

если у меня нат от провайдера, доступа снаружи не может быть?


  • 0

Успешно программирую ботов!

 


#12 Drawde

Drawde

    Пользователь

  • Пользователи
  • PipPip
  • 99 сообщений
  • ГородКрасногорск

Отправлено 08 September 2017 - 09:04

взламывают только асики на белых IP?

У меня динамически присваиваемый IP... второй раз взламывают...


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных