揭秘比木马挖矿还要“暴利”的网络偷窃行为

*本文原创作者：7763sea，本文属FreeBuf原创奖励计划，未经许可禁止转载

说起木马挖矿，那些利用永恒之蓝和其他漏洞挖矿的方式，对于我说的这种显得就不那么暴利了。以一种合理合法的方式运行的他人电脑上，并且不告诉用户，光天化日之下夺走别人到劳动果实才是最大杀器。1.当然抓贼抓脏，没有证据岂能定论。首先说一个，中国矿工用的最多的软件，叫做长沙矿工，在长沙矿工官网并无任何，收取费用的说明，天下可没有免费的午餐，这才是真正的明抢。

挖矿软件都要对接到矿池上面，使用的是stratum 协议，通过抓包可已看到在开启ETH挖矿后15分钟出现另外一个挖矿地址没错了这个地址就是长沙矿工偷偷在挖矿的地址，这里我只贴出国内比较大的某池的算力情况

没错eth 一天收入有14个币，按照现在市价 2017 年 8月13日，2000 rmb 算，日收入2.8w 这仅仅是某一个矿池，大家应该也明白国内使用的矿池不止这一个。此款挖矿软件主要挖矿的目标是 zec （零币） eth /etc (以太) xmr（门罗）zec的我也找了一下地址大家可以看一下。

在不告知用户的情况下，获取他人的利益，是违法且不道德的行为。因此，应按照

中国《刑法》第二百八十七条(利用计算机盗窃公私财物，数额较大或多次盗窃的，按刑法第二百六十四条之规定定盗窃罪)和第二百六十四条(盗窃公私财物，数额较大或多次盗窃的处三年以下有期徒刑、拘役或管制，并处或单处罚金，数额巨大或者有其他严重情节的处三年以上十年以下有期徒刑，并处罚金)之规定定为盗窃罪。

请所有开发挖矿gui 软件作者们注意了。如果你已经使用了这种软件，怎么解决。

解决方法：

1.不使用 此款挖矿软件。由于长沙矿工和其他gui 挖矿软件内核都是Claymore，所以推荐使用原版的cmd 命令行的解决方法

2.使用过滤软件因为stratum 在大部分矿池上链接时头提供了明文端口，所以，您可以使用过滤软件过滤这些地址替换成你自己的地址，对于那些日收入上万的人来说可以减少百元左右的损失。

解决方法2，实现原理：

HANDLE hThread;

DWORD dwThreadId;

BOOL bOptVal = TRUE;

int bOptLen = sizeof(BOOL);

TransferParam<SOCKET, SOCKET> ConfigInfo;

SOCKET ctrlsockid, serversockid, CtrlSocket, AcceptSocket;

ctrlsockid = CreateSocket(INADDR_ANY, wCtrlPort);//创建套接字

if(ctrlsockid <= 0)

goto error2;

serversockid = CreateSocket(INADDR_ANY, wServerPort);//创建套接字

if(serversockid <= 0)

goto error1;

CtrlSocket = accept(ctrlsockid, NULL, NULL);//接受来自（内网用户发起）PortTransfer_2模式建立控制管道连接的请求

if(CtrlSocket == INVALID_SOCKET)

goto error0;

//setsockopt( keep-alive......

if (setsockopt(CtrlSocket, SOL_SOCKET, SO_KEEPALIVE, (char*)&bOptVal, bOptLen) == SOCKET_ERROR) {

goto error0;

//printf("Set SO_KEEPALIVE: ON\n");

}

//与内网用户建立了连接后就相当端口映射成功了

//准备进入接收服务请求状态，并将在新起的线程中通过控制管道通知内网用户发起新的连接进行数据转发

ConfigInfo.GlobalData = CtrlSocket;

while(1)

{

printf("Accepting new Client...\r\n");

AcceptSocket = accept(serversockid, NULL, NULL);

if(AcceptSocket == INVALID_SOCKET)

{

printf("Error.\r\n");

Sleep(1000);

continue;

}

nTimes++;

printf("OK.\r\n");

ConfigInfo.LocalData.Push(AcceptSocket);//把接受到的套接字Push到栈结构中，传到新起线程那边可以再Pop出来

hThread = CreateThread(NULL, 0, PortTransfer_3, (LPVOID)&ConfigInfo, NULL, &dwThreadId);

if(hThread)

CloseHandle(hThread);

else

Sleep(1000);

}

error0:

closesocket(CtrlSocket);

error1:

closesocket(serversockid);

error2:

closesocket(ctrlsockid);

return false;

没错使用端口转发，然后在使用字符串替换就行了，就行了。实在是简单到爆了。。

代码地址已经打包放到文章末尾。

当然Claymore 原版也是有抽水的，但是人家给出了Readme，声明了可以不向作者挖矿，但是会损失5%的收益。这就看你的脾气了，一荣俱荣 ,一损俱损。另外贴一下Claymore 每日的收益

Claymore ：挖矿地址都是这些

XMR

47mr7jYTroxQMwdKoPQuJoc9Vs9S9qCUAL6Ek4qyNFWJdqgBZRn4RYY2QjQfqEMJZVWPscupSgaqmUn1dpdUTC4fQsu3yjN

ZEC

devfee[0] = "t1N7NByjcXxJEDPeb1KBDT9Q8Wocb3urxnv";

devfee[1] = "t1W9HL5Aep6WHsSqHiP9YrjTH2ZpfKR1d3t";

devfee[2] = "t1b9PsiekL4RbMoGzyLMFkMevbz7QfwepgP";

devfee[3] = "t1dn3KXy6mBi5TR1ifRwYse6JMgR2w7zUbr";

eth

0x7fb21ac4cd75d9de3e1c5d11d87bb904c01880fc

0x34FAAa028162C4d4E92DB6abfA236A8E90fF2FC3

0xe19fFB70E148A76d26698036A9fFD22057967D1b

0x3509F7bd9557F8a9b793759b3E3bfA2Cd505ae31

0xdE088812A9c5005b0dC8447B37193c9e8b67a1fF

0xc1c427cD8E6B7Ee3b5F30c2e1D3f3c5536EC16f5

0xB9cF2dA90Bdff1BC014720Cc84F5Ab99d7974EbA

0xc6F31A79526c641de4E432CB22a88BB577A67eaC

etc

0x7fb21ac4cd75d9de3e1c5d11d87bb904c01880fc

0x34FAAa028162C4d4E92DB6abfA236A8E90fF2FC3

0xe19fFB70E148A76d26698036A9fFD22057967D1b

0x3509F7bd9557F8a9b793759b3E3bfA2Cd505ae31

0xdE088812A9c5005b0dC8447B37193c9e8b67a1fF

0xc1c427cD8E6B7Ee3b5F30c2e1D3f3c5536EC16f5

0xB9cF2dA90Bdff1BC014720Cc84F5Ab99d7974EbA

0xc6F31A79526c641de4E432CB22a88BB577A67eaC

长沙 矿工9.8 内核抓到的地址

xmr 和etc 没有抓

zcash:t1Wh5LCLhJJgbgoKpQu8e6GT7UpgufrHhpK

eth:0x0388eaa06d9a72f406de92033a405262bb7111cd

另外贴出 挖矿在某池的算力 曲线

挖zcash

挖eth

挖etc

当然这些只是冰山之一角，按照 Claymore 抽成2.5% 来评估肯定是不对的，实际的这些算力才占此矿池的0.6%而已 ，所以那些月收入几万，日收入上万的都弱爆。Claymore 才是真正的赢家，为了让大家搞明白不被偷不被抢，还是认真考虑一下使用什么样的挖矿软件吧，虽然此篇文章并无任何技术含量，但是网络中的黑色灰色产业依旧非常发达，如若不曝光只会让这些人更加猖狂，好多人被卖了还在帮别人数钱。

代码地址：郑重说明以下带来来自某博客的端口转发代码在上面基础上修改的，而且此代码只说明原理不保证100%滤除所有抽水地址，需要自己修改。如果不当请告知作者将删除代码。

链接：http://pan.baidu.com/s/1nvoiZgt 密码：gzbz

*本文原创作者：7763sea，本文属FreeBuf原创奖励计划，未经许可禁止转载