Почему асик меняет ip адрес
Перейти к содержимому

Почему асик меняет ip адрес

  • автор:

ASIC поразил вирус. Что сделать, чтобы он не майнил «на сторону»

Недавно разработчики антивирусного ПО ESET сообщили о появлении пиратского софта под названием LoudMiner. В эту программу оказался встроен универсальный майнер, работающий под разными операционными системами, включая три разновидности для macOS и одну для Windows.

Пользовательские устройства поражались вирусом-майнером после установки взломанной копии программы для работы со звуком. Приманкой выступали программы Ableton Live, Nexus, Reaktor 6, Propellerhead Reason и др. Хакеры разместили пиратский софт минимум на трёх десятках серверов, которые регулярно обновлялись. Специалисты выявили 137 версий аудиокодеров со спрятанными майнерами.

ASIC поразил вирус. Что сделать, чтобы он не майнил «на сторону»

При этом для пользователей установка майнеров прошла незамеченной. Дело в том, что программы для работы с видео, изображениями и звуком всегда забирают массу ресурсов у ПК. Поэтому юзеры считали, что «тормоза» компьютера — это естественное неудобство при работе с тяжёлым софтом. А их устройства в это время майнили на кошельки хакеров.

Опасность не только для ПК

И если криптоджекингом на ОС Windows, Linux и MacOS уже никого не удивить, то скачивание вирусных прошивок для ASIC всё ещё остаётся сравнительной новинкой. На форумах регулярно обсуждают процессы поражения асиков вирусом, которые, как правило, следуют одному алгоритму:

  • скачивание прошивки с предустановленным вредоносным ПО с сомнительного ресурса;
  • смена пула с установленного вами на пул злоумышленников (пока чаще других фигурирует nicehash);
  • смена адреса с вашего на «хакерский»;
  • действие происходит в фоновом режиме, в меню прошивки всё указано правильно;
  • происходит смена пароля root/root;
  • пропадают или изменяются IP-адреса устройств;
  • сумма отчисляемого вознаграждения превышает стандартные 2-3% devFee разработчику. Майнер минимум половину времени майнит на свой адрес и пул;
  • блокируется вкладка MinerStatus;
  • странные показатели температуры, IP-адреса из другой сети и пр.

ASIC поразил вирус. Что сделать, чтобы он не майнил «на сторону»

Часто вирусы для ASIC маскируются под службы time service (ntp service). После активации блокируется возможность смены пула и обновления прошивки. Иногда вирусы проникают в асики через уязвимости в маршрутизаторах. Поэтому производители рекомендуют вначале обновить прошивки маршрутизаторов до последней версии, сменить на них пароль и отключить доступ к управлению и SSH через интерфейс WAN.

Обновление отдельных ASIC, которые, например, были только приобретены (это касается и новых, и б/у версий), нужно проводить в изолированной от остальных машин сети. Если обновить прошивку в автоматическом режиме не удаётся, можно попробовать сделать это через ssh:

  • распакуйте архив 7zip с файлами прошивки;
  • войдите в меню ASIC через winscp (root: admin);
  • перейдите в папку \tmp;
  • создайте там папку img;
  • скопируйте все распакованные файлы в /tmp/img;
  • войдите в ASIC через утилиту putty (root: admin);
  • cd /tmp/img;
  • chmod +x runme.sh;
  • ./runme.sh;
  • перезагрузитесь.

Как обнаружить вирус в ASIC

Если инфицированным оказалось даже одно устройство, оно моментально поражает остальные асики в сети. В основном вредоносное ПО использует лазейку в веб-интерфейсе, после проникновения в которую сбрасываются стандартные логин и пароль. Обнаружить вирус в прошивке можно по модифицированной строке программного кода (если сравнить её с «чистым» оригиналом).

ASIC поразил вирус. Что сделать, чтобы он не майнил «на сторону»

Например, на скриншоте видна команда, инициирующая четыре процесса (хотя работать должен всего один). При этом основная нагрузка ложится на процессор, хотя иногда вирусы проявляют себя в момент включения или перезагрузки.

Подготовка карты MicroSD для перепрошивки ASIC

Для записи образа понадобится карта памяти формата MicroSD объёмом от 2-4 ГБ и скоростью записи/чтения класса 10 и выше. При необходимости используйте кардридер.

1. Скачайте прошивку, подходящую для вашего устройства.

2. Вставьте карту в устройство чтения и отформатируйте её в FAT32.

3. Скопируйте извлечённые образы из архива на карту.

Как вылечить от вируса Bitmain Antminer S9/ S9i/ S9j/ T9/ T9

Для начала отключите майнер или плату управления отдельно и зажмите IP Reporter. Подсоедините кабель к БП, не отпуская кнопку IPR. Следите за светодиодами — спустя 20-25 секунд они погаснут и затем снова активируются. Это будет означать, что сброс до заводских настроек состоялся успешно. Загрузите актуальную и безопасную прошивку, следуя инструкциям по установке.

ASIC поразил вирус. Что сделать, чтобы он не майнил «на сторону»

Если метод с IP Reporter не помогает, нужно использовать SD-карту. Общий алгоритм установки прошивки для некоторых моделей Bitmain Antminer:

1. Выключите ASIC.

2. Отключите от питания контрольную плату (для Antminer S9/S9j/S9i/R4/T9).

3. Переставьте джампер JP4 (или самый дальний от флешки и самый близкий к стенке асика) на одну позицию вперёд.

4. Включите ASIC-устройство. У моделей Antminer S9/S9j/S9i/R4/T9 дождитесь индикации красного и зелёного светодиодов. Для других моделей дождитесь присвоения устройству IP-адреса.

5. Выключите устройство и достаньте SD-карту.

6. Верните джампер в стоковое положение.

7. Обновите скачанную прошивку до последней версии по вкладке upgrade, не подключая ASIC к общей сети и изолировав его от других устройств.

Как вылечить от вируса Bitmain Antminer L3/ L3+/ D3/ D3B и т. д.

Здесь вам понадобится сразу вставить карту памяти с файлом вида L3+D3A3-SD+Tools.zip. При этом нельзя подключать патчкорд, в противном случае плата управления не обновится. Обновление происходит в среднем за 120-130 секунд. После этого отключите управляющую плату и извлеките MicroSD. Затем активируйте плату и инсталлируйте на неё прошивку.

Как быстро вылечить ASIC-ферму

В наше время редкий пользователь ограничивается парой асиков. В случае с заражением фермы действовать нужно быстро, отключая асики от сети и не позволяя вирусу распространиться. Как же проверить, какие устройства заражены и можно ли без особых усилий сменить firmware в уже поражённых девайсах?

Для этого предназначены готовые прошивки для Antminer S9, T9+. Они хороши тем, что обладают встроенным антивирусом, который распознает наличие любого известного вредоносного ПО. После проверки вы можете откатиться до своей версии, стоявшей на устройствах ранее, либо использовать скачанный вариант. Для быстрой проверки достаточно пройти по вкладкам System > Security и включить проверку при помощи кнопки Virus Check.

ASIC поразил вирус. Что сделать, чтобы он не майнил «на сторону»

При желании также можно проверить асики на вирусы вручную, убедиться в стабильной работе устройств, получить возможность индивидуального разгона чипов, а также оптимизации вычислительных мощностей по технологии AsicBoost. Используя фирменные прошивки с клиентской поддержкой вы получаете гарантированно удобный и конкурентный майнинг, чистую прибыль и защиту от проникновения вирусов. А при использовании иммерсионного охлаждения, пользователи дополнительно могут повысить хешрейт до 40%, утилизировать выделяемое асиками тепло, продлить срок службы оборудования и навсегда избавиться от шума и пыли применительно к работающему оборудованию.

IP-адреса: динамика против статики

IP-адреса: динамика против статики

IP-адрес (internet protocol address) в широком понимании – адрес определенного узла сети, основанной на протоколе IP. Если говорить проще, то каждый компьютер или устройство, подключаемое к интернету, получает уникальный IP-адрес, и выглядит он как набор из четырех чисел от 0 до 255 – между ними ставятся точки. Это так называемый «внешний» IP-адрес, то есть тот, при помощи которого вы получаете доступ к Интернету. Узнать IP можно на специализированных сайтах – например, у нас https://2ip.ru/).

Помимо внешнего IP-адреса существует еще и такое понятие, как локальный IP, то есть адрес внутри сети определенного провайдера. Дело в том, что в мире существует дефицит внешних IP-адресов, и провайдеры часто дают один и тот же IP-адрес нескольким клиентам. Но при этом внутри сети самого провайдера каждый компьютер получает особый локальный IP, не используемый для выхода в глобальную паутину.

Внешний IP-адрес бывает статическим, то есть постоянным, и динамическим – меняющимся при каждом переподключении к Сети, перезагрузке роутера и так далее. Многие пользователи, заметив, что их IP-адрес изменился, начинают задаваться вопросами: все ли в порядке, не был ли взломан их компьютер и так далее. Сейчас мы попытаемся разобраться, в чем преимущества и недостатки динамических и статических IP и как получить тот тип адреса, который вам нужен.

Почему IP меняется?

Некоторые провайдеры вполне официально предоставляют динамические IP-адреса. Дело в том, что количество уникальных IP-адресов, доступных провайдеру, может быть меньше числа его клиентов. Но так как зачастую не все пользователи одновременно подключаются к Интернету, иногда провайдеры действуют следующим образом: при подключении пользователю дается один из свободных на эту минуту IP-адресов, а по завершении сеанса доступа этот IP возвращается в список доступных для абонентов. Впрочем, в наше время это уже не столь актуально, т.к. большинство людей используют роутеры, и они включены 24 часа в сутки.

Динамические и статические IP-адреса: преимущества и недостатки

Динамический IP адрес

Принято считать, что динамические IP-адреса куда безопаснее для начинающих пользователей. Например, если кто-нибудь примется взламывать ваш сетевой узел для получения доступа к компьютеру, после такой элементарной процедуры, как перезагрузка роутера, злоумышленник будет вынужден заново узнавать ваш IP-адрес и заниматься взломом фактически с нуля.

Иногда постоянная смена IP-адреса бывает полезна для работы. Например, если вы занимаетесь SMM, скрытым пиаром или другой деятельностью, связанной с общением на сайтах под разными именами, то это будет выглядеть подозрительно и неправдоподобно при одинаковом IP-адресе. Динамическая смена IP придется вам очень кстати.

В некоторых случаях на форумах и конференциях может применяться так называемый «бан», то есть запрет доступа для определенного участника. Иногда применяется и более жесткое ограничение – блокировка определенного IP. Если вы попали под такие санкции, то динамическая смена IP-адреса позволит беспрепятственно читать информацию на полюбившемся ресурсе и даже зарегистрироваться там под новым именем, чтобы продолжить общение. Случаи, когда блокируются все IP определенного провайдера, крайне редки.

Также динамический IP удобен в тех случаях, когда вы работаете с бесплатными файлообменниками. Зачастую на них вводятся ограничения – например, можно скачать не больше 1 файла за 3-6 часов с одного IP. После скачивания первого документа вам достаточно будет перезагрузить роутер, и вы сможете тут же приступить к скачиванию второго.

Статический IP адрес

Статический IP-адрес лишен этих достоинств, но обладает другими. Например, при авторизации на сайтах интернет-банков и в других ресурсах, требующих максимальной защиты информации, существует возможность привязки логина (учетной записи) к определенному IP. И если даже сторонние лица узнают ваш пароль, они вряд ли смогут получить доступ к секретным данным, поскольку это будет возможно исключительно с вашего IP. Но нужно учитывать, что при смене провайдера вы потеряете этот IP-адрес. Также вы не сможете получить доступ к своей учетной записи на сайте, находясь в другом месте.

Иногда возникает необходимость получить доступ к домашнему или какому-либо другому компьютеру удаленно – для этого применяется специальное программное обеспечение: например, TeamViewer или Remote Administrator. При помощи такого «софта», зная IP-адрес и специальный пароль, можно будет работать с компьютером удаленно, видеть рабочий стол и все содержимое. Главное, чтобы программа была установлена на обоих компьютерах, включая тот, к которому нужно получить доступ. Но это возможно только в том случае, если компьютеру присвоен заранее известный статический IP. В случае с динамическим IP-адресом даже элементарный разрыв соединения приведет к тому, что получить удаленный доступ станет невозможно.

Также статический IP необходим, если вы хотите держать на собственном компьютере игровой сервер или быть хостером для своего сайта. В этом случае, разумеется, IP должен быть постоянным, иначе пользователи будут постоянно терять доступ к вашему ресурсу.

Как изменить динамический IP на статический и наоборот

Если ваш провайдер предоставляет статический IP-адрес, а вы по каким-либо причинам хотите изменить его или скрыть – это не проблема. Можно воспользоваться специальной утилитой для браузера (https://2ip.ru/article/browserplugins) или анонимайзером (https://2ip.io/anonim/), позволяющим получить другой IP-адрес в любую секунду. Так вы, например, зайдете на сайт, где заблокировали ваш IP. Как вариант – в свойствах сетевого подключения открыть настройки протокола TCP/IP версии 4/6 (смотря какую вы используете) и поставить галочку напротив пункта «Получить IP-адрес автоматически». В таком случае при каждом новом подключении к Сети ваш узел будет получать новый же адрес.

Если, напротив, вам нужен статический IP-адрес, а провайдер предоставляет динамический, можно решить и эту проблему. Необходимо зайти в настройки вашего сетевого подключения, поставить галочку напротив «Использовать следующий IP-адрес» и вручную прописать определенный IP. Разумеется, он должен относиться к пулу адресов, доступных именно вашему провайдеру. Если адрес уже кем-то занят – нужно будет изменить IP, пока вы не найдете свободный.

Почему асик меняет ip адрес

Blocking the asic miner’s virus using Router OS

В эксперименте участвовал RB2011UiAS-RM с тройным резервированием от разных ВОЛС (3 Wan & load balance -> конфигурация, по методике описанной здесь: https://mikrotik.me/blog-MultiWAN.html)

4 шт. новеньких асик майнера AVALON 1166pro 81 Th были включены в один broadcast домен за Nat RB2011 через неуправляемый коммутатор. Т.к. майнеры не мои, их владельцу (проживающему в другом регионе) были проброшены порты (правилом dst nat) от Wan list до веб-интерфейса каждого аппарата, для контроля и управления.
Через пару дней все майнеры стали отключаться от пула и блокировать вход на веб-интерфейс. Если в браузере оставляли открытую страницу веб морды майнера, то было замечено, что 1-я строка с адресом майнинг пула и имя воркера переписываются на чужие реквизиты. То есть, все аппараты стоимостью $7000 (каждый) начинали работать на чужой кошелек.
Стало понятно: все майнеры заражены вирусом.

Описание вируса.
1. Вирус переписывает 1-ю строку майнинг пула на URL: stratum + tcp: // btc .viabtc.com:3333 Worker: rkano;
2. Меняет пароль на устройство;
3. Предпочитает срабатывать в неудобное для контроля время. В пятницу вечером, или в 5:00 утра, когда есть большая вероятность пропустить сообщение мониторинга (автор вируса явно опытный программист);
4. Блокирует возможность прошивки. При попытке прошить устройство через веб-интерфейс прошивка загружается в память, но дает Update fall в начале установки. При прошивке при помощи заводского приложения FMS майнер сразу уходит в перезагрузку.

Со слов специалиста по ремонту майнеров:

зараженный аппарат при загрузке сканирует локальную сеть, и вирус сразу проникает в другие. Вылечить, возможно, только прошивкой через программатор.

Занимался сексом с ними 2 недели.

Не помогло:
1. Включение майнеров в разные подсети и VLANы. (чтоб не могли видеть друг друга);
2. Установка сложных паролей на устройства (вирус все равно доставал пароль из «недр» операционной системы асика и менял его. Явный косяк программистов Canaan, производителя AVALON);
3. Сброс до заводских настроек (снова косяк Canaan);
4. Отключение проброса портов (dst nat) тоже уже не спасало.

Вирус продолжал через 1-2 дня переключать их на чужой пул.

Включил запись лога пакетов от майнеров. Обнаружил исходящие запросы по разным IP адресам. Стал анализировать их геопозиции. Вот некоторые из них:

Строка из лога:
in:IS-bridge out:ISP2, src-mac bb:bb:bb:bb:bb:bb, proto TCP (SYN,ACK), 192.168.16.101:5554->80.XXX.XXX.XXX:2420, NAT (192.168.16.101:5554->80.XXX.XXX.XXX:5554)->80.234.112.216:2420, len 48
Где:
bb:bb:bb:bb:bb:bb – mac адрес майнера
192.168.16.101 – IP адрес майнера
5554 – порт проброшенный к нему из WAN листа
80.XXX.XXX.XXX — IP адрес WAN2

Промежуточный вывод: вирус знает все открытые порты и все 3 IP-адреса Wan портов. Он пытается установить исходящее соединение со сторонними адресами и такое соединение не попадет под Firewall. Оно же исходящее. И ответ будет получен.

Что было сделано:
Добавил URL адрес нашего майнинг пула в Adress Lists Firewall.
IP – Firewall – Adress Lists
/add address=bs.poolbinance.com list=»Allowed for Avalon»
В примере Binance. Если вы майните на другие, добавляйте все ваши. Например Poolin:
/add address=btc.ss.poolin.me list=»Allowed for Avalon»
Таким образом, мы собираем в лист все возможные IP-адреса наших майнинг пулов. Их может быть несколько у каждого пула.
IP-адрес провайдера с которого подключается хозяин прописал в список «Allowed for Avalon» руками и снова разрешил проброс портов (dst nat) к веб-интерфейсам устройств.

Изображение

Далее: IP – Firewall – Filter Rules
/add action=reject chain=forward comment=Avalon dst-address-list=\
«!Allowed for Avalon» log=yes log-prefix=»Kil not allowed» reject-with=\
icmp-network-unreachable src-address=192.168.16.101

Изображение

Изображение

Изображение

Это правило запрещает майнерам устанавливать исходящие соединения по всем IP-адресам, кроме адресов из списка разрешенных (список «Allowed for Avalon») и записывает попытки в лог. Почему я поставил не «Drop», а «reject» с отправкой «icmp-network-unreachable» на асик? — Для подстраховки. Все майнеры одинаково устроены, и все имеют по 3 строки для URLов. Если URL, вписанный в первую строку, не доступен – операционная система асика переключает майнинг на URL, вписанный во 2-ю строку. Если и она недоступна, то на 3-ю. Я рассуждал так: если вирус перепишет 1-ю строку на себя, то операционная стстема асика обратится к DNS серверу, получит IP-адрес, но этот IP-адрес запрещен. ОC получит ответ «network-unreachable» и перейдет майнить по 2-й строке. А 2-я строка то наша! Но это оказалось лишним.

О чудо! Теперь все зараженные майнеры без сбоев работают на хозяина. В лог постоянно валятся строки с заблокированными попытками выхода по IP-адресам мира.

После смены всех №№ портов dst nat попытки установить связь по TCP протоколу прекратились (связи с внешним миром у вируса теперь нет). Но он не прекращает попытки установить ее, теперь, по UDP протоколу.

Строка из лога:
Kill not allowed forward: in:IS-bridge out:ISP3, src-mac bb:bb:bb:bb:bb:bb, proto UDP, 192.168.16.101:49546->192.43.244.18:123, len 76

Оставшиеся вопросы и выводы:

Поставщик проверенный с репутацией. Поставка официальная со всеми делами (ГТД, таможня…) => вероятность что кто то, по пути сумел заразить устройства крайне мала.

После распаковки и включения устройства были настроены и запаролены в течении первых 10-15 минут. => вероятность что за это время просканировали порты и заразили их тоже мала.

Dst nat был от всего Wan list, но хозяин знал только IP-адрес Wan 1. А аппараты ломятся по IP-адресам всех 3х Wan портов.

Других асик майнеров в сети на было. Были только офисные компьютеры. Может вирус попасть из Windows компьютеров? С асик майнеров других типов или только с майнеров с одинаковыми контрольными платами и одинаковыми ядрами?

Реквизиты доступа: ip адрес ISP1 (Wan 1), порты и пароли отправлены через What’s up (возможно это имеет значение)

У меня 2 версии:
1. Майнеры уже с завода пришли с вирусом.
2. Реквизиты доступа украли из переписки в What’s up, заразили один или все сразу.
Буду признателен за другие мысли и варианты.

MTCNA MTCRE

На работе: CCR1009, 2xRB2011; 10+RB951UI; 10+hAP AC Lite; 2xSXT LTE; wAP LTE; 20+CRS112; 10+CRS212.
Дома: 2xhAP AC Lite; SXT LTE

Проблемы с подключением асика к сети интернет

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Войти

Уже есть аккаунт? Войти в систему.

Поделиться

Последние посетители 0 пользователей онлайн

  • Ни одного зарегистрированного пользователя не просматривает данную страницу

Similar Topics

Криптоблогер Бен Армстронг: Юридические проблемы вынуждают меня прекратить стримы

Бывший ведущий YouTube-канала Bitboy Crypto объявил, что больше не будет вести ежедневные стримы о криптовалютах из-за нехватки финансов и юридических проблем. Бен Армстронг (Ben Armstrong) попрощался со своими подписчиками в соцсети X. Разногласия с бывшими коллегами и корпоративными партнерами подорвали его авторитет. «Ежедневные прямые трансляции о криптовалютах были частью моей жизни. Мы с вами хорошо провели все эти три года. С понедельника по пятницу, за редким исключением. К

1 фев 2024, 17:03 в Новости криптовалют

Не твои ключи, не твои монеты: как проблемы бирж отражаются на владельцах криптовалют

Предложенная несколько лет назад концепция «доказательство ключей» (proof-of-keys) становится все актуальней на фоне участившихся у крупных криптобирж проблем с регуляторами и безопасностью. В конце 2018 года криптовалютный инвестор и предприниматель Трейс Майер призвал владельцев криптовалют вернуть себе контроль над своими закрытыми ключами. Свой план «доказательство ключей» (proof-of-keys) он связал с десятилетней годовщиной публикации Белой книги Биткоина. Майер призвал сообщество Битко

30 ноя 2023, 07:49 в Новости криптовалют

Нужна ваша помощь. Имею около 20 незакрытых кредитов и большие проблемы с зубами.

Добрый вечер уважаемые участники данного форума. Я возможно, и скорее всего тут не в тему пишу. Но вынужден обратиться за помощью. Нуждаюсь в сумме 80000 грн. Нужны на покрытие нерешенных вопросов и решения проблем со здоровьем. Если кто может помочь — напишите мне на почту xaker555@ukr.net

13 ноя 2023, 20:55 в Благотворительность

Проблемы с верификацией на Binance

я уже несколько дней бьюсь с верификацией, анриал, куча фоток документов и меня и толку ноль, похоже гражданам РФ вход закрыт.

6 янв 2021, 18:49 в Биржи криптовалют

Бывший топ-менеджер Ripple: «CBDC могут решить не все проблемы финансовой отрасли»

Дилип Рао, бывший топ-менеджер Ripple, возглавляющий проект по тестированию цифровой валюты ЦБ Австралии, заявил, что CBDC могут решить не все проблемы, с которыми сейчас сталкивается финансовая отрасль. Дилип Рао (Dilip Rao) руководит исследовательской программой в центре Digital Finance Cooperative Research Centre, сотрудничая с Резервным банком Австралии по изучению вариантов использования цифрового австралийского доллара. Рао сообщил, что ЦБ Австралии изучает 14 возможных вариантов испо

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *