全球主机交流论坛

标题: 有什么工具可以检测到内网电脑挖矿 [打印本页]

作者: 那时烟花 时间: 2022-3-10 09:29
标题: 有什么工具可以检测到内网电脑挖矿
被省厅通报了，有将近1K的机子，不可能一一去查。

作者: hostedu 时间: 2022-3-10 09:30
提示: 作者被禁止或删除内容自动屏蔽

作者: ZengHu 时间: 2022-3-10 09:31
内网挖矿，我看刑啊

作者: ycdxsb 时间: 2022-3-10 09:35
出口处抓流量，看ip

作者: SpaceX 时间: 2022-3-10 09:36
有预算吗？被通报了肯定有整改预算吧，如果确实没有，像我们那样出口防火墙屏蔽所有矿池地址，根据策略命中情况排查IP即可，有预算的话，30w买个安恒的apt检测，流量**都给你扒干净了，别说挖矿了，各种出国特征都能识别，精确定位，实际体验下来就一句话：真tm猛。

作者: 那时烟花 时间: 2022-3-10 09:46

SpaceX 发表于 2022-3-10 09:36
有预算吗？被通报了肯定有整改预算吧，如果确实没有，像我们那样出口防火墙屏蔽所有矿池地址，根据策略命中 ...

没有预算，不过最后还是会上设备，本来也是打算屏蔽所有的矿池地址的，就是找不到

作者: daili.ws 时间: 2022-3-10 09:53
1k在挖，也是牛逼得不要不要的

作者: 忘江湖 时间: 2022-3-10 10:04
本帖最后由忘江湖于 2022-3-10 10:06 编辑

那时烟花发表于 2022-3-10 09:46
没有预算，不过最后还是会上设备，本来也是打算屏蔽所有的矿池地址的，就是找不到 ...

屏蔽矿池地址没用的，他买台国外服务器开个端口转发服务，连接转发服务器进行挖矿，就绕过你的屏蔽了。
但是流量依然挖矿流量，省厅一样会探测到，那你做的屏蔽就等于是无用功。

上次在一个论坛上看到，他们新的做法都是直接加密转发了，就是本地写个代理客户端，接管挖矿程序网络，然后接到的所有数据包随机加密，发给国外转发服务器，转发服务器上面再解密数据包发给矿池地址，这样在国内这段流量是随机动态加密的，就无法探测到了。

作者: yxb 时间: 2022-3-10 10:05
提示: 作者被禁止或删除内容自动屏蔽

作者: yxb 时间: 2022-3-10 10:06
提示: 作者被禁止或删除内容自动屏蔽

作者: Niwi 时间: 2022-3-10 10:11
机器直接不走你的网络，你查个毛阿

作者: 那时烟花 时间: 2022-3-10 10:19

Niwi 发表于 2022-3-10 10:11
机器直接不走你的网络，你查个毛阿

省厅是扫到我们出口IP的，不走我们网络也不会被通报了

作者: sysmaster 时间: 2022-3-10 13:53

那时烟花发表于 2022-3-10 10:19
省厅是扫到我们出口IP的，不走我们网络也不会被通报了

下发个通知：挖矿的请自备网络，公司补贴电费与机器。

作者: aru 时间: 2022-3-10 15:28
只能花钱买安全厂商设备了

作者: stat 时间: 2022-3-10 16:30
wireshark 抓流量

作者: bitss 时间: 2022-3-10 16:32
公司还招人不，我也想入职偷偷挖。。

作者: skywing 时间: 2022-3-10 16:41
直连矿池的好解决，屏蔽地址即可，估计省厅扫到的也是这部分流量

本地自建加密代理，加密转发国外，这种基本没可以通过流量分析解决吧？

作者: voysup 时间: 2022-3-10 16:44

SpaceX 发表于 2022-3-10 09:36
有预算吗？被通报了肯定有整改预算吧，如果确实没有，像我们那样出口防火墙屏蔽所有矿池地址，根据策略命中 ...

你们防火墙用的矿池地址能分享下吗

作者: skywing 时间: 2022-3-10 16:47
不过只有1K终端设备还是比较好排查的，镜像流量慢慢分析就好

作者: CARY. 时间: 2022-3-10 16:49
你这个得服务端和客户端结合使用。出口在架个审计、网管设备，管控的死死的。代价就是花钱，花钱能解决99%的问题

作者: pengit 时间: 2022-3-10 16:53
屏蔽其它所有网络链接，只开通开有业务需求的域名IP访问，设置白名单，包括聊天软件这些访问网络同样设置?

作者: sortie 时间: 2022-3-10 16:59
端口开白名单

作者: xocus 时间: 2022-3-10 17:09
买本省的VPS，自已加密数据，从第一台机子就转起走

欢迎光临全球主机交流论坛 (https://lilynana.eu.org/)