Как войти в асик через winscp
Недавно разработчики антивирусного ПО ESET сообщили о появлении пиратского софта под названием LoudMiner. В эту программу оказался встроен универсальный майнер, работающий под разными операционными системами, включая три разновидности для macOS и одну для Windows.
Пользовательские устройства поражались вирусом-майнером после установки взломанной копии программы для работы со звуком. Приманкой выступали программы Ableton Live, Nexus, Reaktor 6, Propellerhead Reason и др. Хакеры разместили пиратский софт минимум на трёх десятках серверов, которые регулярно обновлялись. Специалисты выявили 137 версий аудиокодеров со спрятанными майнерами.
При этом для пользователей установка майнеров прошла незамеченной. Дело в том, что программы для работы с видео, изображениями и звуком всегда забирают массу ресурсов у ПК. Поэтому юзеры считали, что «тормоза» компьютера — это естественное неудобство при работе с тяжёлым софтом. А их устройства в это время майнили на кошельки хакеров.
Опасность не только для ПК
И если криптоджекингом на ОС Windows, Linux и MacOS уже никого не удивить, то скачивание вирусных прошивок для ASIC всё ещё остаётся сравнительной новинкой. На форумах регулярно обсуждают процессы поражения асиков вирусом, которые, как правило, следуют одному алгоритму:
скачивание прошивки с предустановленным вредоносным ПО с сомнительного ресурса;
смена пула с установленного вами на пул злоумышленников (пока чаще других фигурирует nicehash);
смена адреса с вашего на «хакерский»;
действие происходит в фоновом режиме, в меню прошивки всё указано правильно;
происходит смена пароля root/root;
пропадают или изменяются IP-адреса устройств;
сумма отчисляемого вознаграждения превышает стандартные 2-3% devFee разработчику. Майнер минимум половину времени майнит на свой адрес и пул;
блокируется вкладка MinerStatus;
странные показатели температуры, IP-адреса из другой сети и пр.
Часто вирусы для ASIC маскируются под службы time service (ntp service). После активации блокируется возможность смены пула и обновления прошивки. Иногда вирусы проникают в асики через уязвимости в маршрутизаторах. Поэтому производители рекомендуют вначале обновить прошивки маршрутизаторов до последней версии, сменить на них пароль и отключить доступ к управлению и SSH через интерфейс WAN.
Обновление отдельных ASIC, которые, например, были только приобретены (это касается и новых, и б/у версий), нужно проводить в изолированной от остальных машин сети. Если обновить прошивку в автоматическом режиме не удаётся, можно попробовать сделать это через ssh:
распакуйте архив 7zip с файлами прошивки;
войдите в меню ASIC через winscp (root: admin);
перейдите в папку \tmp;
создайте там папку img;
скопируйте все распакованные файлы в /tmp/img;
войдите в ASIC через утилиту putty (root: admin);
chmod +x runme.sh;
Как обнаружить вирус в ASIC
Если инфицированным оказалось даже одно устройство, оно моментально поражает остальные асики в сети. В основном вредоносное ПО использует лазейку в веб-интерфейсе, после проникновения в которую сбрасываются стандартные логин и пароль. Обнаружить вирус в прошивке можно по модифицированной строке программного кода (если сравнить её с «чистым» оригиналом).
Например, на скриншоте видна команда, инициирующая четыре процесса (хотя работать должен всего один). При этом основная нагрузка ложится на процессор, хотя иногда вирусы проявляют себя в момент включения или перезагрузки.
Подготовка карты MicroSD для перепрошивки ASIC
Для записи образа понадобится карта памяти формата MicroSD объёмом от 2-4 ГБ и скоростью записи/чтения класса 10 и выше. При необходимости используйте кардридер.
1. Скачайте прошивку, подходящую для вашего устройства.
2. Вставьте карту в устройство чтения и отформатируйте её в FAT32.
3. Скопируйте извлечённые образы из архива на карту.
Как вылечить от вируса Bitmain Antminer S9/ S9i/ S9j/ T9/ T9
Для начала отключите майнер или плату управления отдельно и зажмите IP Reporter. Подсоедините кабель к БП, не отпуская кнопку IPR. Следите за светодиодами — спустя 20-25 секунд они погаснут и затем снова активируются. Это будет означать, что сброс до заводских настроек состоялся успешно. Загрузите актуальную и безопасную прошивку, следуя инструкциям по установке.
Если метод с IP Reporter не помогает, нужно использовать SD-карту. Общий алгоритм установки прошивки для некоторых моделей Bitmain Antminer:
1. Выключите ASIC.
2. Отключите от питания контрольную плату (для Antminer S9/S9j/S9i/R4/T9).
3. Переставьте джампер JP4 (или самый дальний от флешки и самый близкий к стенке асика) на одну позицию вперёд.
4. Включите ASIC-устройство. У моделей Antminer S9/S9j/S9i/R4/T9 дождитесь индикации красного и зелёного светодиодов. Для других моделей дождитесь присвоения устройству IP-адреса.
5. Выключите устройство и достаньте SD-карту.
6. Верните джампер в стоковое положение.
7. Обновите скачанную прошивку до последней версии по вкладке upgrade, не подключая ASIC к общей сети и изолировав его от других устройств.
Как вылечить от вируса Bitmain Antminer L3/ L3+/ D3/ D3B и т. д.
Здесь вам понадобится сразу вставить карту памяти с файлом вида L3+D3A3-SD+Tools.zip. При этом нельзя подключать патчкорд, в противном случае плата управления не обновится. Обновление происходит в среднем за 120-130 секунд. После этого отключите управляющую плату и извлеките MicroSD. Затем активируйте плату и инсталлируйте на неё прошивку.
Как быстро вылечить ASIC-ферму
В наше время редкий пользователь ограничивается парой асиков. В случае с заражением фермы действовать нужно быстро, отключая асики от сети и не позволяя вирусу распространиться. Как же проверить, какие устройства заражены и можно ли без особых усилий сменить firmware в уже поражённых девайсах?
Для этого предназначены готовые прошивки для Antminer S9, T9+. Они хороши тем, что обладают встроенным антивирусом, который распознает наличие любого известного вредоносного ПО. После проверки вы можете откатиться до своей версии, стоявшей на устройствах ранее, либо использовать скачанный вариант. Для быстрой проверки достаточно пройти по вкладкам System > Security и включить проверку при помощи кнопки Virus Check.
При желании также можно проверить асики на вирусы вручную, убедиться в стабильной работе устройств, получить возможность индивидуального разгона чипов, а также оптимизации вычислительных мощностей по технологии AsicBoost. Используя фирменные прошивки с клиентской поддержкой вы получаете гарантированно удобный и конкурентный майнинг, чистую прибыль и защиту от проникновения вирусов. А при использовании иммерсионного охлаждения, пользователи дополнительно могут повысить хешрейт до 40%, утилизировать выделяемое асиками тепло, продлить срок службы оборудования и навсегда избавиться от шума и пыли применительно к работающему оборудованию.
С начала 2019 года от обладателей асиков поступают жалобы о воровстве хэш-мощностей. Хакеры заражают вредоносным ПО пользовательские устройства и намайненное вознаграждение перечисляется на их воркеры, минуя адреса владельцев. Некоторые хакеры умудряются зарабатывать более 1 BTC в сутки только за счёт внедрения вирусов в чужие устройства.
Откуда появляются зараженные асики
Чуть позже один из майнеров, обладающий 4 тыс. устройств, сообщил, что неизвестный вирус перевёл на сторонний адрес около 8 тыс. долларов в биткоинах, добытых за сутки, пока он не обнаружил подмену адреса. Пользователю удалось отформатировать систему и перепрошить асики при помощи SD-карты, но это заняло более четырёх дней. Его спасло оперативное отключение части «здоровых» машин от локальной сети. Причиной стала прошивка asic кастомным ПО.
Все эти и новые вирусы регулярно создаются и модифицируются хакерами. Вредоносное ПО с каждым днём становится всё незаметнее и опаснее. От заражения не застрахован никто, поскольку после установки модифицированной злоумышленниками прошивки троян быстро распространяется на другие устройства и восстанавливать потом приходится каждое по отдельности вручную. Прошивка asic S9 в этом случае занимает гораздо больше времени, чем автоматическое сканирование на вирусы и лечение.
Как узнать, что ASIC заражён
Это не является стандартной платой за разработку (DevFee) и использование прошивки и просто так отключить её нельзя. Вирус по меньшей мере 12 часов ежедневно майнит на другого пользователя. То есть, вы получаете на 50% меньше награды, чем должны. При этом откат до стандартной прошивки лишь временно решает проблему. Вирус вскоре вновь активизируется и продолжает пересылать вознаграждение другому юзеру.
Троян не позволяет сменить адрес на свой и сбросить конфигурацию асика. Кроме того, он блокирует обновления прошивок. Добыча хакеров в этом случае достигает от 0,5 до 1 BTC в сутки при том, что они используют исключительно чужое оборудование. Сейчас это составляет от 20 до 40 тыс. долларов США каждые 24 часа. Стоит задуматься, сколько устройств уже заражено и сколько ещё будет атаковано в будущем. При таких масштабах «эпидемии» следует позаботиться о мерах безопасности и лечения.
В некоторых случаях подмену пула можно обнаружить при помощи программы WinSCP. Достаточно ввести адрес ASIC, имя root и пароль. Попав «внутрь» асика нужно просмотреть файл bmminer.conf в папке config. Если в нём будет фигурировать вышеназванный чужой адрес (3CJgXokLQrRCQcEoftS7MbPDSXhXpX6P55), значит, устройство поражено. Пулы при этом также будут указаны другие (в данном случае nicehash).
Как вылечить ASIC
Для проверки своих устройств можно использовать сторонние программы-сканеры или BraiinsOS. Вылечить вирус Antminer S9 иногда можно сбросив IP-адрес, а затем сразу же установив одну из новых официальных прошивок. В любом случае процесс удаления занимает много времени и требует некоторых знаний, а также наличия SD-карты вместимостью от 2 ГБ.
Для начала можно скачать простую утилиту, вроде Win32DiskImager. Затем следует вставить SD-карту в кардридер, запустить Win32DiskImager и записать образ восстановления Recovery S9 на карту памяти. После этого потребуется провести манипуляции с платой асика, а именно:
отключить от питания контрольную плату, а затем отсоединить райзера с чипами;
переставить джампер вперёд (первый от стенки асика, он же дальний от флешки, как правило, JP4), вставить карту с образом, включить питание;
затем нужно подключить контрольную плату, подождать примерно минуту до стабильной периодической индикации светодиодов на LAN. Первый раз они зажгутся через 20 сек, а постоянно начнут мигать в течение минуты.
Это свидетельствует о прошивке платы. После этого следует отключить питание, вернуть перемычку на место и достать SD-карту. Затем нужно собрать устройство. После запуска ASIC, появится привычное меню Bitmain, через которое можно свободно устанавливать любую оригинальную прошивку или кастомные версии.
Что делать, если заражена ферма
Этот способ лечения хорошо работает с одним устройством. Однако почти любой вирус, находясь в локальной сети с другими устройствами, очень быстро распространяется на все девайсы. Если у вас в пользовании находятся десятки или сотни асиков, то обнаружив заражение одного, придётся проверять остальные, быстро отключать их от сети, а перепрошивать каждый вышеописанным образом будет долго и накладно.
Существует решение в виде универсальной готовой прошивки для Antminer S9, T9+, обладающей рядом преимуществ по сравнению с любыми способами индивидуального лечения. Её особенности заключаются в следующем:
встроенный антивирус, проверяющий и распознающий присутствие вредоносного ПО. Если у вас всё в порядке, можете после проверки вернуться к своей прошивке либо остаться на скачанной версии;
ручное сканирование вирусов;
прошивка находится на сайте, защищённом сертификатом безопасности SSL, что предотвращает подмену злоумышленником файла;
она обеспечивает стабильность работающих устройств;
функция «режим сна» для ASIC;
индивидуальный разгон чипов;
возможность разгона и оптимизации по технологии AsicBoost и многое другое.
Встроенный антивирус позволяет проверить ваш ASIC S9, T9+ на наличие вируса. Для этого, после установки прошивки на ваше устройство, зайдите во вкладку System > Security и включите проверку нажатием кнопки Virus Check.
Важным отличием от хакерских продуктов является клиентская поддержка. По всем возникающим вопросам можно связаться с разработчиком и получить консультацию. Только в том случае, если скачать прошивку для ASIC с официального сайта разработчика можно гарантировать стабильный и прибыльный майнинг без необходимости делиться наградой с посторонними.
Цены на видеокарты не дают покоя, и вы хотите отомстить майнерам? Тогда эта статья для Вас! Сегодня администрация Cybersec расскажет, как найти и сбрутить SSH, Telnet, FTP, а также веб-панели AsicMiner-ов.
Прошли те времена, когда ломали асики Bitmain и пользовали оставляли асики в открытом доступе с дефолтными паролями. Но если посмотреть с другой стороны, не так много то и изменилось. Всего стало только больше. Просто надо найти правильный подход.
А ещё существует пиратское ПО многолетней давности с дырами для управления не отдельными асиками, а целыми фермами. И люди его активно используют.
Что такое асики?
В википедии сказано, что ASIC (Айсик, Асик) (аббревиатура от англ. application-specific integrated circuit, “интегральная схема специального назначения”) — это интегральная схема, специализированная для решения конкретной задачи. В отличие от интегральных схем общего назначения, специализированные интегральные схемы применяются в конкретном устройстве и выполняют строго ограниченные функции, характерные только для данного устройства; вследствие этого выполнение функций происходит быстрее и, в конечном счёте, дешевле. Примером ASIC может являться микросхема, разработанная исключительно для управления мобильным телефоном, микросхемы аппаратного кодирования/декодирования аудио- и видео-сигналов (сигнальные процессоры).
С появлением ASIC стало возможным добывать Bitcoin в гораздо большем количестве, чем с помощью видеокарт т.к. при большей мощности (скорости расчёта хеша) они потребляют гораздо меньше энергии.
Подготовка
Для сбора айпи, будем использовать Python с библиотеками Shodan и Censys, поэтому необходимо создать там аккаунты и получить api ключи.
Список библиотек, необходимых для работы скрипта, который мы будем разбирать в этой статье (pip3 install название_библиотеки):
- censys==1.1.1 – библиотека Censys;
- shodan==1.25.0 – библиотека Shodan;
- pysocks – библиотека, необходимая для работы с socks5 прокси;
- requests – библиотека, через которую будет осуществляться отправка POST запросов в веб-форму админки асиков.
- argparse – библиотека, с помощью которой мы будем запускать нужные нам режимы работы (поиск айпи, брут админки, сканирование портов и тд.).
- datetime – библиотека, которую будем использовать для создания имён файлов (07.54_20-05-21.txt).
Если вы планируете использовать socks5 прокси, то нужно создать файл proxy.txt, в котором будут айпи вместе с портами.
Создание скрипта для поиска и айпи из Shodan и Censys
Импортируем библиотеки, создаем переменные с api ключами, стандартными портами, юзер-агентами и добавляем аргументы запуска:
Функции поиска айпи из Shodan и Censys:
Вызываем функции и получаем список айпи:
Поиск асиков из списка айпи
Список айпи мы получили, осталось найти в этом списке асики, для этого перейдем в веб-панель, на страницу /login и посмотрим, как происходит вход в админку:
В поле мы видим пакеты, которые передаются методом POST:
Выбираем тот, что с файлом auth и в меню “Заголовки” можем увидеть полный путь:
В поле “Запрос” отображаются названия переменных, которые принимают логин и пароль:
“success”:false значит, что пароль и логин не подошли, при правильной паре логин/пароль мы получим “success”:true и таким образом сможем понять какой из паролей был корректным, это мы будем использовать для брута паролей.
Теперь, когда мы знаем, как работает авторизация, можем создать функцию, которая будет искать асики и функцию, которая будет генерировать хидеры:
Скриншот работы функции:
Начинаем брутить веб-панель!
Когда мы получили список айпи асиков, можно начать брутить юзернеймы. Создаем функцию (использовать ее мы будем не часто, ведь admin это юзер по умолчанию и его не меняют), которая будет брать юзернеймы из standard_users и в цикле for пробовать каждый из них:
Функция брута аккаунта админа очень похожа на функцию брута юзернеймов, но вместо “invalid password” мы будем искать “success”: true:
Программа почти готова, осталось сделать функцию, которая будет проверять порты на найденных асиках и записывать их в txt файлы, чтобы в дальнейшем мы смогли брутить SSH или FTP через thc-hydra или patator:
Создаем в конце файла блок if __name__ == “__main__”, чтобы мы смогли запускать отдельные функции указывая режим работы через -m:
Сриншоты работы программы:
После того, как айпи будут собраны, нам будет предложено запустить поиск асиков:
Когда асики будут собраны, в папке появится файл AsicMiners.txt:
Если мы запустим скан портов, то в папке logs появятся файлы, в которых будут айпи и порты, которые были открыты:
После скана портов, мы можем запустить брут админки и если пароль будет найден, то появится файл found_pass.txt:
Брут SSH, Telnet, FTP
SSH:
hydra -f -L usernames.txt -P passwords .txt ssh:// 89.40.246.58
-f – остановка перебора после успешного подбора пары логин/пароль;
-L/-P – путь до словаря с пользователями/паролями;
ssh://IP-адрес – в нашем случае, это айпи асика.
patator ssh_login host= 89.40.246.58 user=FILE0 password=FILE1 0= usernames.txt 1= passwords .txt
ssh_login – модуль;
host – наша цель;
user – логин пользователя, к которому подбирается пароль или файл с логинами для множественного подбора;
password – словарь с паролями.
medusa -h 89.40.246.58 -U usernames.txt -P passwords .txt -M ssh
-h – IP-адрес целевой машины;
-U/-P – путь к словарям логинов/паролей;
-М – выбор нужного модуля.
FTP:
hydra -f -L usernames.txt -P passwords.txt ftp://109.122.230.99
patator ftp_login host= 109.122.230.99 user=FILE0 password=FILE1 0=usernames.txt 1=passwords.txt
medusa -f -M ftp -U usernames.txt -P passwords.txt -h 109.122.230.99
Telnet
hydra 109.122.230.99 telnet -L usernames.txt -P passwords.txt -t 32 -f
patator telnet_login host= 109.122.230.99 user=FILE0 password=FILE1 0=usernames.txt 1=passwords.txt
medusa -f -M telnet -U usernames.txt -P passwords.txt -h 109.122.230.99
В следующей части мы расскажем про брут AwesomeMiner, а пока вы можете делится своими результатами (задавать вопросы) в @badbclub, код программы, которую мы разбирали находится тут.
ВНИМАНИЕ! АДМИНИСТРАЦИЯ САЙТА НЕ СОВЕРШАЕТ И НЕ РЕКОМЕНДУЕТ ВАМ СОВЕРШАТЬ ПРОТИВОПРАВНЫХ ДЕЙСТВИЙ ИЛИ ПОЛУЧАТЬ НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП К СИСТЕМАМ. ДАННАЯ СТАТЬЯ НАПРАВЛЕНА НА ТО, ЧТОБЫ УКАЗАТЬ НА ПРОБЛЕМЫ С СИСТЕМАМИ И ПРЕДОСТЕРЕЧЬ ПОЛЬЗОВАТЕЛЕЙ ОТ ВОЗМОЖНЫХ АТАК.
Antminer S9 – самый популярный асик с 2016 года. От других видов майнеров отличается большей надежностью, высокой ремонтопригодностью и доступной ценой (на март 2020 года $130 за б/у в Москве). После выхода устройства на рынок стали появляться первые прошивки. Они нужны для того, чтобы оптимизировать работу асика под вашу цену электричества и условия работы.
Основные плюсы кастомной прошивки ASIC:
- Увеличение доходности. Благодаря технологии асикбуст и оптимизации прошивки энергоэффективность асика увеличиться
- Готовые профили разгона и даунвольта (пресеты). Легко и просто настраивается выбором профиля исходя из мощности вашего блока питания и системы охлаждения
- Возможность отключения вентиляторов при иммерсионном охлаждении (не нужны эмуляторы вентиляторов)
С помощью этого гайда вы сможете быстро и легко прошить Antminer S9.
Перед тем, как начать работу убедитесь, что у вас готовы все необходимые элементы для подключения:
1. Подключение асика
Первый шаг, который необходимо сделать – это подключить блок питания к майнеру Antminer S9 и вставить Ethernet кабель.
Antminer S9 с подключенным блоком питания APW3+. Стрелками показаны места подключения кабелей.
2. Узнаем IP адрес асика
Находим устройство в сети. Для этого нам понадобится программа Advanced ip Scanner.
Скриншот программы Advanced ip Scanner.
- Заходим в браузер и в строку поиска вводим ip адрес, в нашем случае это 192.168.1.36.
- Нажимаем Enter
- Устройство запросит логин и пароль, по умолчанию логин и пароль root (одинаковые)
Скриншот входа в асик через интернет браузер.
4. Прошивка асика Antminer S9
После ввода логина и пароля, у нас открывается админка асика. Здесь видим прошивку на данный момент, ее мы и будем обновлять.
Cкриншот админки не прошитого асика.
Вкладка обновления прошивки.
5. Настройка асика Antminer S9
Админка прошитого асика.
- Выбираем вкладку Miner Configuration – Mining profiles
- Здесь вы можете выбрать готовые пресеты (настройки хешрейта и потребления электричества)
Будьте внимательны при выборе пресета! На воздухе максимальный разгон возможен до 16 THs, больше только в иммерсионном охлаждении.
- При настройке асика обязательно включите Asic Boost для уменьшения расхода электричества
- Настройте порог хэшрейта, чтобы когда он падает ниже заданного, асик перезагружался
- Выставить температуру отключения лезвий
- Нажимаем кнопку PreSave
Выбор пула в настройках асика.
Майнер перезагрузится, далее будет проходить автоматическая оптимизация работы чипов, это может занять около часа, во время данного периода асик будет перезагружаться – это нормально.
Поздравляем, асик Bitmain Antminer S9 прошит и готов к работе!
Если при сканировании асик не видно
Иногда при сканировании сети асик не видно, в таком случае сбрасываем прошивку Antminer до заводских настроек (Hard reset).
- Выключаем питание
- На передней панели устройства нажимаем и удерживаем кнопку IP Report
- Включаем питание и держим кнопку пока не моргнут 2 индикатора на передней панели зеленый и красный
- Асик перезагрузится и его будет видно в сети
Передняя панель асика, стрелкой отмечена кнопка Ip Report (сброс до заводских настроек)
Если понадобится помощь в прошивке и настройке асика, звоните.
4 комментария
Доброе утро у меня возникает такая проблема , после прошики айсика я не могу войти под логином и паролем, не дает войти в свой апйи адрес под root root
Читайте также: