Как просмотреть файл журнала ОС hive

Обновлено: 02.07.2024

Команды HiveOS: команды Linux для начинающих | Промежуточный | Продвижение. В последнее время сообщество майнеров стало свидетелем массового перехода на операционную систему Hive OS, которая имеет встроенное программное обеспечение для майнинга различных криптовалют на всех популярных пулах. Также пользователей привлекает продуманный веб-интерфейс HiveOS, который делает мониторинг и администрирование работы ригов и асиков безумно удобными и простыми процессами.

Первая версия Hive OS была запущена осенью 2017 года, при этом она была немного сложнее в плане настроек, чем сегодняшняя. Дистрибутив Hive OS доступен для бесплатной загрузки, но за его использование в майнинге придется заплатить.

Возможно, вы захотите прочитать это: Как подключиться к HiveOS с помощью SSH Teleconsole: это так просто, это так просто

Установку данной системы можно производить как на жесткий диск формата HDD/SSD, так и на флешку. Причем делается это всего за несколько простых шагов, с которыми справится даже новичок (при наличии под рукой инструкции, например, этой статьи).

Причины, по которым вам следует выбрать Hive OS для майнинга, а также подробная информация о загрузке, установке и настройке этой системы, приведены ниже.

Простые команды

agent-screen — показывает клиентский агент Hive OS (для выхода нажмите Ctrl + A, D)

firstrun -f — повторно запросить идентификатор рига и пароль

mc — файловый менеджер, похожий на Norton Commander, но для Linux

самообновление — обновление Hive OS через консоль, аналогично нажатию кнопки в веб-интерфейсе

sreboot — выполнить принудительную перезагрузку

sreboot shutdown — выполнить принудительное завершение работы

Шахтеры

майнер – открывает окно с запущенным майнером (для выхода нажмите Ctrl+A,D)

miner start, miner stop — запускает или останавливает настроенный майнер

Возможно, вам захочется это прочитать: Удаленный доступ к HiveOS: настройка удаленного доступа через ssh к буровым установкам под управлением Hive OS

журнал майнера, конфигурация майнера — журнал/настройки майнера

Системные журналы

dmesg — показывать системные сообщения, в основном для просмотра журнала загрузки

tail -n 100 /var/log/syslog — показать последние 100 строк системного журнала

Сеть

ifconfig — показать сетевые интерфейсы

iwconfig — показать беспроводные адаптеры

Горячие клавиши

Ctrl+C — остановить любую запущенную команду

Переключение между экранами майнера, отключение от терминала:

Ctrl+A, D — отсоединиться от экрана (майнера или агента), чтобы он продолжал работать

Ctrl+A, Space или Ctrl+A, 1,2,3 — переключение между экранами, если у вас запущено несколько майнеров и т. д.

Дополнительные команды

Статус/Диагностика

журнал экрана агента — показать журналы различных частей (вы можете использовать log1 и log2) агента Hive

hello — «привет» серверу: для обновления IP-адресов, настроек и т. д. (обычно делается при запуске)

net-test — проверить и определить сетевое подключение

timedatectl — показать время и дату настроек синхронизации

top -b -n 1 — показать список всех процессов

Возможно, вы захотите это прочитать: Статический IP-адрес для установки HiveOS: 15 лучших бирж криптовалют HiveOS

wd status — показать статус и журнал hash-watchdog

amd-info — показать данные о картах AMD

amdcovc — показать данные о мощности для карт AMD

amdmeminfo — показать данные о памяти карт AMD

Нвидиа

journalctl -p err | grep NVRM — показать последние ошибки видеокарт Nvidia

nvidia-info — показать дополнительные данные о картах Nvidia

nvidia-driver-update — обновить драйверы Nvidia

nvidia-driver-update 430 — загрузите и установите последний драйвер из серии 430. *

nvidia-driver-update --nvs — переустановить только настройки nvidia

nvidia-smi — показать данные о картах Nvidia

nvtool --clocks — показать частоты ядра/памяти для всех видеокарт Nvidia

Оборудование

gpu-fans-find — вращайте вентиляторы графического процессора от первой до последней карты, чтобы упростить поиск нужного графического процессора. Можно указать номер карты, тогда на ней запустятся вентиляторы. Если рабочий запускается корректно, то довольно легко отследить, какая карта какой шине соответствует. Например, если карта GPU0 имеет шину 01:00.0 и вы хотите ее найти, используйте команду gpu-fans-find 0. Эта команда на некоторое время раскрутит вентиляторы только на этой карте. И так далее по примеру.

Возможно, вы захотите прочитать это: Как скачать HiveOS: Torrent и Zip-файл (архив) — простые шаги для получения прибыли

сенсоры — показывают показания напряжения/температуры материнской платы и карты

sreboot wakealarm 120 — отключить питание и запустить через 120 секунд

/hive/opt/opendev/watchdog-opendev power — эмуляция нажатия кнопки питания через сторожевой таймер OpenDev

/hive/opt/opendev/watchdog-opendev reset — эмуляция нажатия кнопки перезагрузки средствами сторожевого таймера OpenDev

Обновление/установка

disk-expand -s — расширить раздел Linux, чтобы заполнить оставшееся место на диске

hpkg list miners — список всех установленных майнеров

hpkg remove miners — удалить все майнеры

nvidia-driver-update --remove — удалить все загруженные пакеты драйверов Nvidia, кроме установленного в данный момент

selfupgrade --force – принудительное обновление; это поможет в ситуации, когда selfupgrade сообщает, что версия Hive актуальна, но на самом деле это не так

journalctl -u hive --no-pager — показать журнал загрузки ОС Hive

journalctl -u hivex --no-pager — показать журнал X-сервера (графический интерфейс)

logs-on — записывать все логи на диск, они сохранятся после перезагрузки

Возможно, вам захочется это прочитать: Hiveos установил пароль рига в качестве системного: Запись образа на USB-накопитель (Rig, Wallet & Farm)

logs-off — запись всех журналов в ОЗУ для уменьшения износа USB-накопителя (по умолчанию)

log='/var/log/syslog'; gzip -c9 "$log" | base64 -w 0 | message file "$(basename "$log")" payload — отправить файл /var/log/syslog в панель управления

Как использовать эти команды для Hive OS и Linux?

Hive OS (Hive OS) — операционная система из семейства Linux (на базе Ubuntu), разработанная специально для использования в майнинге криптовалют. Он содержит множество программных решений, которые значительно упрощают процесс настройки и контроля добычи криптовалют на популярных GPU-устройствах (фермах и майнерах ASIC).

Благодаря HiveOS нет необходимости поочередно подключать видеокарты (те, кто майнит на Windows, знают, о чем речь), скачивать, устанавливать и обновлять различное ПО для майнинга и драйвера, а также редактировать множество bat-файлов.

Эта система поддерживает графические ускорители Nvidia и AMD, не требовательна к ресурсам используемого оборудования (достаточно 2 Гб оперативной памяти) и может стабильно работать даже со старыми сокетами AM2/774. Одновременно в один риг можно установить до 19 видеокарт.

Вы можете не поверить, но сделать первые шаги в майнинге не так сложно, как кажется на первый взгляд. Жизнь шахтера может быть тяжелой, но есть верный способ облегчить ее. Просто попробуйте некоторые из команд, которые мы перечислили ниже, они помогут вам настроить ваши майнеры, обнаружить различные проблемы (например, с Nvidia) и упростить использование системы в целом. С их помощью можно решать различные задачи гораздо быстрее и проще.

Простые команды куста

Начнем с основ, прежде чем переходить к чему-то более сложному. Вот некоторые распространенные команды Hive и Linux, которые могут вам понадобиться:

  • экран агента . Используйте его, чтобы увидеть агент клиента Hive. Когда вы решите выйти, нажмите Ctrl + A, D .
  • первый запуск -f . Это поможет вам, если вам снова понадобятся идентификатор установки и пароль.
  • мк . Это файловый менеджер, похожий на Norton Commander, но для Linux.
  • самообновление . Эта команда обновит систему. Вместо того, чтобы использовать его, вы также можете нажать кнопку в Интернете — результат будет таким же.
  • перезагрузить . Если вы воспользуетесь этой командой, все сразу же перезагрузится.
  • выключить sreboot . Требуется немедленное отключение? Тогда эта команда именно то, что вам нужно.

Возможно, вам захочется это прочитать: пароль оболочки Hiveos по умолчанию: сменить пароль, отключить службу доступа к Hive OS

Шахтеры

В свою очередь, эти команды помогут вам разобраться с майнерами:

  • шахтер . Попробуйте эту команду, чтобы увидеть экран работающего майнера. Когда вы решите выйти, нажмите Ctrl + A, D .
  • запуск майнера, остановка майнера . Здесь все просто, эти команды запускают и останавливают настроенный в данный момент майнер.
  • журнал майнера, конфигурация майнера . Очевидно, что эти команды позволяют вам проверить ваш журнал и конфигурацию майнера.

Системные журналы

Вот две хитрости для работы с системным журналом:

  • dmesg . Это покажет вам системные сообщения и журнал загрузки.
  • tail -n 100 /var/log/syslog . Хотите увидеть последние 100 строк системного журнала? Попробуйте эту команду.

Сеть

И, конечно же, вот несколько лайфхаков в Интернете, о которых вам следует знать:

  • ifconfig . Используйте его, чтобы увидеть свои сетевые интерфейсы.
  • iwconfig . Ищете беспроводные адаптеры? Эта команда покажет их вам.

Расширенные команды для Hive OS

А теперь пришло время для более сложных команд, которые могут вам понадобиться для выполнения определенных задач.

Возможно, вам захочется прочитать: Как настроить кошелек Hive OS 2022: ETH+DCR| Настройка EWBF Zec.mine + Ccminer

Статус/Диагностика

Регулярная диагностика имеет решающее значение для здорового горного дела. Узнайте, как это сделать:

  • журнал экранов агентов . Эта команда покажет вам журналы различных частей агента Hive. Вы также можете попробовать log1 и log2.
  • привет. Мы знаем, что вы вежливый человек, поэтому передайте привет официанту!Это позволит вам обновить IP-адреса, настройки и т. д. Эта команда обычно запускается автоматически при запуске.
  • сетевой тест . Попробуйте эту команду, чтобы проверить и диагностировать ваше сетевое подключение.
  • timedatectl . Используйте его, чтобы просмотреть настройки синхронизации времени и даты.
  • сверху -b -n 1 . Если вы используете эту команду, вы увидите список всех процессов.
  • статус wd. Нужно увидеть статус сторожевого таймера и журнал? Хорошо.

Команды для AMD

Попробуйте эти команды для продвинутых микроустройств или для краткости AMD:

Возможно, вам захочется это прочитать: Двойной майнинг ETH + TON в ОС Hive: разгон | 2022 Рентабельность | ТОНКОИН

Команды для Nvidia

Вот несколько полезных команд для обнаружения проблем с Nvidia, их решения и т. д.:

  • journalctl -p err | grep NVRM . Если есть какие-либо недавние ошибки графического процессора Nvidia, эта команда покажет их вам.
  • nvidia-smi . Используйте эту команду для проверки информации о картах Nvidia. Для получения дополнительной информации перейдите на страницу nvidia-info.
  • обновление-драйвера nvidia 430 . Собираетесь скачать и установить последний драйвер из серии 430.*? Затем используйте эту команду, чтобы ускорить процесс.
  • nvidia-driver-update –nvs . Используйте его для сброса настроек Nvidia.
  • nvtool- — часы . Эта команда позволяет увидеть часы ядра/памяти для всех графических процессоров Nvidia.

Оборудование

  • gpu-fans-find . Если вам нужно найти конкретный графический процессор, используйте эту команду для переключения вентиляторов с первого графического процессора на последний. Поиск станет намного проще.
  • датчики . Попробуйте эту команду, чтобы увидеть показания напряжения и температуры материнской платы и процессора.
  • sreboot wakealarm 120 . Используйте его, чтобы отключить питание и снова загрузить его через 120 секунд.
  • /hive/opt/opendev/watchdog-opendev power . Это отправит команду питания на сторожевой таймер OpenDev.
  • /hive/opt/opendev/watchdog-opendev reset. Это отправит команду сброса сторожевому таймеру OpenDev.

Обновить/установить

Полное обновление и установка процессов без каких-либо проблем и колебаний:

  • disk-expand -s . Эта команда позволит вам расширить текущий раздел Linux, чтобы заполнить оставшееся место на диске.
  • майнеры списка hpkg . Вы увидите установленные майнеры. Если вы хотите удалить их все, введите hpkg remove miners .
  • nvidia-driver-update –удалить . С помощью этой команды вы удалите все загруженные пакеты драйверов Nvidia, кроме установленных в данный момент.
  • самообновление –force . Логично, что эта команда инициирует принудительное обновление системы. Это может помочь, если скрипт говорит, что Hive обновлен, но на самом деле это не так.

Управляйте журналами быстро и легко:

journalctl -u hive- -no-pager . Эта команда показывает журнал загрузки службы Hive.

journalctl -u hivex- -no-pager . При этом вы увидите журнал X-сервера (графический пользовательский интерфейс).

вход в систему . Если вы используете его, все журналы будут сохранены на диск и останутся в полной безопасности даже во время перезагрузки.

Возможно, вам захочется это прочитать: Удаленный доступ к HiveOS: настройка удаленного доступа через ssh к буровым установкам под управлением Hive OS

выйти из системы . Это сохраняет все журналы в оперативной памяти, чтобы уменьшить износ USB-накопителя. Имейте в виду, что эта команда выполняется по умолчанию.

log = ‘/var/log/syslog’; gzip -c9 «Журнал $» | base64 -w 0 | файл сообщения «$ (базовое имя «$ log»)» полезная нагрузка. Наконец, эта команда позволяет отправить файл /var/log/syslog на панель инструментов.

Как запускать команды Hive

Изучив список команд, у вас может возникнуть логичный вопрос: как вы на самом деле выполняете любую из них? Это можно сделать пятью способами:

  1. С помощью значка команды «Выполнить» на панели;
  2. Через удаленную консоль Hive Shell или Teleconsole;
  3. Через веб-консоль ShellInABox ;
  4. При подключении к ферме через IP-адрес. Вы можете сделать это с помощью любого SSH-клиента (например, PuTTY );
  5. Через локальную консоль (например, клавиатуру или устройство).

3 маленьких ярлыка

Помимо команд, вы также можете использовать эти сочетания клавиш, чтобы сделать вашу жизнь более удобной:

  • C + Ctrl . Эта комбинация останавливает любую запущенную команду.
  • A + Ctrl, D . Используйте эту команду для выхода из экрана (майнера или агента). Экран будет работать.
  • Ctrl + A, пробел или Ctrl + A, 1,2,3. С помощью этой комбинации вы можете легко переключаться между экранами, например, если у вас запущен второй майнер.

Возможно, вам захочется это прочитать: Двойной майнинг ETH + TON в ОС Hive: разгон | 2022 Рентабельность | ТОНКОИН

Теперь пришло время применить свои знания на практике — используйте эти команды, чтобы облегчить себе жизнь. И следите за обновлениями, мы поделимся еще многими полезными советами и рекомендациями в наших следующих статьях.

Я заметил, что мой майнер перезапускается через случайные промежутки времени после добавления новой карты.Я могу предположить, в чем проблема (вероятно, настройки ОС), но меня больше всего беспокоит то, что когда я хочу проверить журналы майнера в HiveOS, оказывается, что после каждого перезапуска майнера журналы начинаются заново, и я могу просматривать только текущую сессию. .

Новых файлов не создано, поэтому я не могу проверить старые, поэтому я не вижу, какое сообщение было при перезапуске майнера. Журналы включены для хранения на жестком диске из HiveOS, но это не решает проблему.

Я не уверен, что это можно исправить на вашей стороне или в HiveOS, поэтому я подумал, что должен сообщить вам об этом.

Текст был успешно обновлен, но возникли следующие ошибки:

Прокомментировал Mpuf 24 ноября 2021 г.

Видимо, это тот же процесс, который описывает HiveOS, но в то же время это не то, что я получаю. У меня есть 1 файл t-rex.log, а затем у меня есть t-rex.0.log.gz до t-rex.9.log.gz, всего 10 файлов (11, включая t-rex.log)

По-видимому, он перезаписывает файлы t-rex.x.log.gz каждый раз при перезапуске, что, очевидно, ведет запись о 10 перезапусках майнера. Он не предлагает каких-либо других указаний, таких как метка времени или дата и т. Д. Вы должны фактически просматривать файлы, чтобы узнать, какую дату и время они включают. Кроме того, поскольку я не эксперт в Linux, я мог бы использовать команду tail в файлах журнала, чтобы увидеть только последний бит, поэтому я вижу только то, что меня интересует - причину перезапуска, а теперь мне нужно просмотреть .log. gz и прокрутите до конца, чтобы увидеть, что мне нужно.

В любом случае, несмотря на то, что он не ведет себя так, как предполагалось, мне удалось увидеть, какая карта получает ошибку и забавную историю, это не новая карта.

Спасибо за ответ :)

trexminer прокомментировал 25 ноября 2021 г.

Не беспокойтесь. Рад, что ты разобрался.
Я собираюсь закрыть вопрос, так как в вашем случае поведение архивации журналов контролируется HiveOS.

Вы не можете выполнить это действие в данный момент.

Вы вошли в другую вкладку или окно. Перезагрузите, чтобы обновить сеанс. Вы вышли на другой вкладке или в другом окне. Перезагрузите, чтобы обновить сеанс.

Журналы KDDR (Kernel Diagnostic Data Recorder) собирают статистические данные во время выполнения о непредвиденных событиях и труднопредсказуемых или нежелательных ситуациях, которые могут возникнуть с текущими процессами и службами устройства Aerohive. Служба поддержки Aerohive может анализировать содержимое этого двоичного файла журнала для устранения неполадок и может диагностировать, определять основные причины и устранять проблемы, которые могут возникнуть с устройством. Поскольку эти файлы журналов содержат закодированную информацию, вам не обязательно понимать их двоичное содержимое. Вы можете экспортировать и отправить файл сотрудникам службы поддержки Aerohive, которые готовы просмотреть файл с помощью специальной программы и помочь вам при устранении таких проблем, интерпретируя информацию, полученную из этих журналов.

Журналы KDDR содержат следующую информацию:

  • Описательные имена функций ядра, которые ссылаются на значения адресов символов в буфере истории, чтобы сделать файлы KDDR более удобочитаемыми и облегчить анализ файлов.
  • Содержимое трассировки ядра интегрировано, чтобы уменьшить необходимость вручную связывать, какой файл трассировки ядра соответствует какому журналу KDDR.
  • Специальный буфер собирает и сохраняет исторические данные о событиях, зарегистрированных в течение нескольких последних моментов аварийной перезагрузки системы.

Журналы KDDR отключены по умолчанию как в локальных устройствах HiveManager Classic, так и в HiveManager Classic Online. Чтобы включить сбор статистических данных KDDR, перейдите на панель Настроить интерфейсы и доступ пользователей, щелкните Дополнительные параметры, разверните раздел Параметры сбора статистики и выберите Включить регистратор диагностических данных ядра. Чтобы отключить его, снимите флажок. Справку о том, как включить или отключить KDDR, см. в разделе «Конфигурация сети».

В HiveOS версии 6.1r5 ведение журнала KDDR поддерживается на следующих устройствах: AP120, AP121, AP141, AP170, AP230, AP330, AP350, BR200, BR200-WP и BR200-LTE-VZ.

  • HiveManager Classic 6.1r5 поддерживает получение дампов от AP320 и AP340. Однако HiveOS 6.1r5 не поддерживает устройства AP320 и AP340.

В HiveOS версии 6.1r6 ведение журнала KDDR поддерживается на всех точках доступа Aerohive, которые могут работать под управлением HiveOS версии 6.1r6.

Контролируйте хешрейт, энергопотребление и температуру с помощью умных мобильных уведомлений.

Разгоняйте свои майнинг-фермы, меняйте прошивки ASIC, кошельки, монеты и полетные листы; проверить статистику всей фермы и каждого отдельного работника.

Установите расписание, изменяйте настройки всей фермы или каждого отдельного воркера за считанные секунды.

Поддерживайте хешрейт и температуру на оптимальном уровне с помощью сторожевого таймера хешрейта и автовентилятора, где бы вы ни находились, с помощью мобильного приложения.

Получите максимум от своих майнинговых ферм с Hive OS.

Что нового

– Добавлена ​​новая опция сторожевого таймера «майнер разделяет WD».
– Добавлены новые моды: «режим ожидания» и «P0state» для графических карт NVIDIA.
– Внесены некоторые исправления в параметр «Добавить». Поток ригов.
– Включена возможность выбора отфильтрованных ригов/ферм.
– Добавлена ​​поддержка ASIC Hub.
– Интеграция сторонних реле для управления устройствами майнинга.
– Добавлено новые фильтры по версии ядра Linux и версии драйвера.
— Для вашего удобства внесены небольшие изменения и улучшения.

Оценки и обзоры

Отличное приложение, но чего-то не хватает

Очень понравилось приложение. Не поймите меня неправильно, это фантастика, но самая важная функция, которую она должна иметь… отсутствует, и это временная память для карт nvidia. Некоторые майнеры показывают его до тех пор, пока вы заходите в журнал майнера, но если бы он отображался на рабочей панели, управлять вентиляторами было бы намного проще. Я понимаю, что это дополнительный шаг в журнале майнера, но это поможет. Надеюсь, когда-нибудь это произойдет, так как это облегчит задачу

Отсутствие важных функций

Для начала позвольте мне сказать, что приложение потрясающее. Это практически то, что вы получаете в Интернете. Такой же простой, но мощный в управлении вашей установкой, где бы вы ни находились. Единственное, чего ему БОЛЬШОГО ВРЕМЕНИ не хватает, так это отсутствия текущего/прогнозируемого заработка на пуле. Я искал везде, и я не думаю, что есть такой простой способ увидеть, сколько денег вы заработали в пуле. Пожалуйста, включите эту функцию, и вы будете иметь мое сердце на всю жизнь. Все остальное отлично и полностью функционально. Я немедленно обновлю до 5 звезд, как только вы введете это изменение.

Ответ разработчика

Здравствуйте! Спасибо за ваш комментарий и предложение. Мы сделаем все возможное, чтобы изменить и улучшить текущий момент!

Очень нравится приложение, но чего-то не хватает!

Приложение замечательное в использовании, но в нем отсутствует интеграция с пулами HiveOn! Чтобы увидеть наши данные для пулов HiveOn, нам нужно войти в веб-интерфейс, а не в приложение. Если бы интеграцию с HiveOn можно было включить в следующее обновление, было бы здорово. Таким образом, мы сможем увидеть прогнозируемый доход и посмотреть, насколько хорошо мы работаем в пуле. Я надеюсь, что это может быть реализовано.

Ответ разработчика

Здравствуйте! Спасибо за ваш комментарий и предложение. Мы сделаем все возможное, чтобы изменить и улучшить текущий момент!

Конфиденциальность приложения

Разработчик, компания HIVEON HOLDING LTD, указал, что политика конфиденциальности приложения может включать обработку данных, как описано ниже. Дополнительную информацию см. в политике конфиденциальности разработчика.

Данные, не связанные с вами

Могут быть собраны следующие данные, но они не связаны с вашей личностью:

Методы конфиденциальности могут различаться, например, в зависимости от используемых вами функций или вашего возраста. Узнать больше

Обновление (11 июля 2021 г., 13:50 UTC): чтобы уточнить, атака, описанная в этой статье, развернута через слабую аутентификацию SSH (т. е. требует доступа к оболочке на машине для майнинга). Чтобы снизить риск этой угрозы, вам следует усилить безопасность вашего оборудования для майнинга Hive OS, используя надежный пароль SSH. Подробнее о том, как изменить пароль Hive OS, см. в разделе Безопасность Hive OS в конце этой статьи.

Или, что еще лучше, полностью отключите аутентификацию по паролю SSH и вместо этого используйте аутентификацию с открытым ключом (см. раздел «Как настроить ключи SSH в Ubuntu в DigitalOcean и OpenSSH: отключить аутентификацию по паролю» на вики сообщества Ubuntu).

Обновление (11 июля 2021 г., 12:55 UTC): скрипт атаки bash dropper теперь обнаруживается VirusTotal. «Лаборатория Касперского» помечает файл как «Trojan.Shell.Miner.ag»:

Скриншот обновленного VirusTotal сканирование

Скриншот сканирования VirusTotal, сделанный 11 июля 2021 г. в 11:49 UTC

Недавно просматривая журналы приманки SSH, я заметил подозрительное удаление файла. Полезная нагрузка файла находится в тренде с другими популярными вредоносными атаками криптомайнинга (Insikt Group: 2020 Q3 Malware Trends). Однако эта конкретная атака нацелена на майнеров, работающих под управлением Hive OS: популярного инструмента управления и мониторинга для майнинг-ферм.

Способ атаки изменяет конфигурацию кошелька Hive OS, чтобы гарантировать, что злоумышленник получит все добытые монеты. Изменение файла конфигурации обратно не остановит атаку, поскольку вредоносное ПО регулярно обновляет файл. На момент написания этой записи в блоге файлы атаки и полезных данных не были отмечены VirusTotal как вредоносные (см. Анализ VirusTotal).

Как работает атака

Точкой входа для атаки, которую я наблюдал, является SSH. Моя приманка SSH работает в общедоступной сети (т. е. WAN), порт 22.Злоумышленник проходит аутентификацию через SSH с именем пользователя «user» и паролем «1» — учетными данными Hive OS по умолчанию, как указано в руководстве по установке Hive OS.

Оказавшись внутри защищенной оболочки, злоумышленник меняет пароль Hive OS на «check» и устанавливает dos2unix (инструмент для преобразования разрывов строк из формата DOS в Unix). Затем атакующий загружает сценарий bash-дроппера под названием «dw» (SHA-256: d95161c141659b1dd164c001ec8b22dde00ce3d34e5c90148aaeb6170326ae25) из удаленного каталога с именем «putkite».

Скриншот содержимого каталога Putkite

Содержимое каталога Putkite

Полезная нагрузка оболочки атаки:

Скрипт дроппера bash (имя файла dw) начинается с изменения пароля ОС Hive (снова) на «ql4m1jkur4». Затем он добавляет нового пользователя Unix с именем «h5», добавляет этого пользователя в sudo (привилегированную группу), затем загружает скрипт полезной нагрузки bash (имя файла a.sh, SHA-256: ba43bcb1edc42175ce9daebbcd69729fbaf54a0f4a6e491df47945be9d7eed81) и служебные файлы, необходимые для атаки. Наконец, он устанавливает службу под названием as, которая выполняет скрипт полезной нагрузки bash (имя файла a.sh) и создает crontab для перезапуска майнера Hive OS каждый час.

Содержимое скрипта дроппера bash (имя файла dw):

Вредоносная служба с именем as (имя файла a.sh) запускается с изменения конфигурации ОС Hive для запуска специализированного майнера под названием phoenixminer. Затем вредоносное ПО перезаписывает полетный лист (wallet.conf) кошельком ETH или ETC злоумышленника (в зависимости от существующей настройки). Вредоносная служба повторяет это действие каждые 30 минут, поэтому изменение файла конфигурации кошелька Hive OS обратно не остановит атаку.

Содержимое скрипта полезной нагрузки bash (имя файла a.sh):

Хорошо, это не самая изощренная или продвинутая атака, но интересно наблюдать за этой хитрой тактикой. Кроме того, как я упоминал ранее, скрипт bash dropper и скрипт полезной нагрузки bash полностью не обнаружены в VirusTotal на момент написания.

Как восстановить скомпрометированную систему Hive OS

Если вы используете установку Hive OS, убедитесь, что файл конфигурации вашего кошелька (/hive-config/wallet.conf) не был изменен (или в основных настройках Hive OS). Если это так, запустите команду «service as stop» — И удалите файлы, связанные с этой вредоносной программой (см. ниже). NB: это имя службы, которое я заметил в своем приманке. Имя службы может измениться при других атаках — проверьте в файле bash dropper (имя файла dw) правильное имя службы для использования.

Вы также можете удалить пользователя, добавленного во вредоносном сценарии bash (имя файла dw). Имейте в виду, что вместо того, которого я наблюдал, может быть создан другой пользователь. Я заметил пользователя, созданного под именем «h5». Итак, я бы удалил этого пользователя с помощью этой команды: «userdel h5». Но, как я уже сказал, если ваша установка была скомпрометирована, проверьте, какое имя пользователя было создано. Важно: если вы не удалите этого пользователя, злоумышленник все равно сможет войти в вашу установку и снова ею управлять (если она находится в общедоступной сети и открыт SSH).

После этого вы можете снова изменить файл конфигурации кошелька Hive OS. N.B.: если вы сначала не остановите вредоносную службу, она автоматически изменит файл конфигурации кошелька на файл злоумышленника.

  • /usr/bin/a.sh
  • /lib/systemd/system/as.service
  • /etc/rc.local
  • дв
  • /hive-config/wallet.conf

Как я уже говорил, это файлы, которые я наблюдал. Атака может меняться со временем и использовать разные имена файлов. Поэтому проверьте исходный скрипт дроппера bash на наличие правильных имен файлов.

Первоначально я назвал эту вредоносную программу "Putkite" (по названию каталога, из которого она была получена). Но потом я прогнал его через Google Translate. Автор вредоносного ПО может быть болгарином.

Безопасность ОС Hive

Атака, описанная в этой статье, развертывается через SSH со слабой аутентификацией (т. е. требует доступа к оболочке на машине для майнинга). Чтобы снизить риск этой угрозы, вам следует усилить безопасность вашего оборудования для майнинга Hive OS, используя надежный пароль SSH. Или, что еще лучше: полностью отключите аутентификацию по паролю SSH и вместо этого используйте аутентификацию с открытым ключом (см. раздел «Как настроить ключи SSH в Ubuntu на DigitalOcean и OpenSSH: отключить аутентификацию по паролю» на вики сообщества Ubuntu).

Чтобы изменить пароль SSH на установке Hive OS:

  1. Подключитесь к своей машине по SSH. Учетные данные по умолчанию: "user:1" (например, "ssh user@IP"). Дополнительную информацию см. в статье Как подключиться к SSH-серверу из Windows, macOS или Linux в How-To Geek.
  2. Измените свой пароль, введя в терминал следующую команду: «passwd» (обязательно используйте надежный пароль — см. раздел «Как создать надежный и уникальный пароль?» на веб-сайте Webroot для получения дополнительной информации).

Запуск установки Hive OS за брандмауэром (т. е. в вашей частной сети) скроет установку от общего доступа.Однако брандмауэр не остановит SSH-атаку со слабой аутентификацией, которая исходит из вашей сети. В конечном итоге все сводится к управлению рисками; Вы полностью доверяете всем устройствам в вашей внутренней сети? Я бы посоветовал установить надежную аутентификацию SSH даже на устройствах внутренней сети.

Я прочитал (несколько краткое) руководство по безопасности Hive OS. Одна из их рекомендаций — изменить SSH-порт по умолчанию с 22 на другой порт, например 2222, «потому что 22-й порт часто сканируется». Этот метод известен как безопасность через неясность (STO) — то есть сокрытие службы в надежде, что ее не обнаружат. STO — это слабая практика безопасности, потому что сканеры могут легко обнаружить службу SSH на порту 2222. Итак, для ясности: установка надежного пароля или только использование аутентификации с открытым ключом повысит безопасность значительно больше, чем изменение порта по умолчанию.

Об авторе

Саймон Белл — отмеченный наградами исследователь кибербезопасности, инженер-программист и специалист по веб-безопасности. Исследовательские работы Саймона публиковались по всему миру, а его выводы публиковались в Ars Technica, The Hacker News, PC World и других изданиях. В 2013 году он основал Secure Honey, проект с открытым исходным кодом и анализом угроз. Он имеет докторскую степень в области информационной безопасности и степень бакалавра компьютерных наук.

Читайте также: