Miner auf Laptop gefunden

[sirn00balot]

Guten Tag,

wie der Name  schon sagt, habe ich nicht viel mit der Materie zu tun. Ich bin Admin in einem kleinen Unternehmen.
Ein Kollege hatte gemeldete, dass sein Laptop recht träge ist.
Habe das geprüft und gemerkt, das ein ethminer im Hintergrund läuft.
Habe den Prozess erstmal gestoppt (ethminer -C -F eth-eu.dwarfpool.com:80/0xIRGENDSOEINHASHGEDÖNSE --farm-recheck 200 )
Unter dem User in /home/user/ war ein .ethminer Verzeichnis, was schon recht groß war mit einigen ldb files drin.

Ich sichere gerade die Verzeichnisse und habe das Laptop vom Netz getrennt.
Danach werde ich den Kram deinstallieren, bzw. mal mein Netz durchscannen nach offenen Connections zu so einem pool

Meine Frage(n):
Kriege ich raus, wer da so dreist war auf dem Laptop zu rechnen, falls es doch nicht der User selbst war?
Kann man mit den Files auf dem Filesystem irgendwas machen, bzw. liegen da "Coins" im Filesystem rum?

Über etwas know how wäre ich dankbar

Vielen herzlichen Dank und Grüße

[azu393]

vor 5 Minuten schrieb sirn00balot:

Guten Tag,

wie der Name  schon sagt, habe ich nicht viel mit der Materie zu tun. Ich bin Admin in einem kleinen Unternehmen.
Ein Kollege hatte gemeldete, dass sein Laptop recht träge ist.
Habe das geprüft und gemerkt, das ein ethminer im Hintergrund läuft.
Habe den Prozess erstmal gestoppt (ethminer -C -F eth-eu.dwarfpool.com:80/0xIRGENDSOEINHASHGEDÖNSE --farm-recheck 200 )
Unter dem User in /home/user/ war ein .ethminer Verzeichnis, was schon recht groß war mit einigen ldb files drin.

Ich sichere gerade die Verzeichnisse und habe das Laptop vom Netz getrennt.
Danach werde ich den Kram deinstallieren, bzw. mal mein Netz durchscannen nach offenen Connections zu so einem pool

Meine Frage(n):
Kriege ich raus, wer da so dreist war auf dem Laptop zu rechnen, falls es doch nicht der User selbst war?
Kann man mit den Files auf dem Filesystem irgendwas machen, bzw. liegen da "Coins" im Filesystem rum?

Über etwas know how wäre ich dankbar

Vielen herzlichen Dank und Grüße

 

bis auf seine wallet -> irgendeinhashgedönse -> hast du ja nicht viel... aber vlt. reicht das unter bestimmten umständen schon -> schau doch mal, was auf der wallet so alles auftaucht bzw. wer alles mit dieser am mining ist...

oder poste den link (irgendeinhashgedönse ) komplett -> dann geben ich dir hier den link beim mining...

Edited April 17, 2018 by azu393

[sirn00balot]

0x257Fda8bc9731B448EBd672c0Cce7dfC7d8C6F64 

Vielen Dank für deine Hilfe

 

Hat das was zu bedeuten, dass die VZ's ~ 96GB groß sind?

# du -h . --max-depth=1 .ethash/

8,0K    ./.ssh
36K    ./.pki
22G    ./.ethash
32K    ./.gnupg
75G    ./.ethereum
117M    ./.config
12K    ./.dbus
4,0K    ./.cache
96G    .

 

Edited April 17, 2018 by sirn00balot

[Patwoll]

1 hour ago, sirn00balot said:

Guten Tag,

wie der Name  schon sagt, habe ich nicht viel mit der Materie zu tun. Ich bin Admin in einem kleinen Unternehmen.
Ein Kollege hatte gemeldete, dass sein Laptop recht träge ist.
Habe das geprüft und gemerkt, das ein ethminer im Hintergrund läuft.
Habe den Prozess erstmal gestoppt (ethminer -C -F eth-eu.dwarfpool.com:80/0xIRGENDSOEINHASHGEDÖNSE --farm-recheck 200 )
Unter dem User in /home/user/ war ein .ethminer Verzeichnis, was schon recht groß war mit einigen ldb files drin.

Ich sichere gerade die Verzeichnisse und habe das Laptop vom Netz getrennt.
Danach werde ich den Kram deinstallieren, bzw. mal mein Netz durchscannen nach offenen Connections zu so einem pool

Meine Frage(n):
Kriege ich raus, wer da so dreist war auf dem Laptop zu rechnen, falls es doch nicht der User selbst war?
Kann man mit den Files auf dem Filesystem irgendwas machen, bzw. liegen da "Coins" im Filesystem rum?

Über etwas know how wäre ich dankbar

Vielen herzlichen Dank und Grüße

Ist es ein CloudMining?

[azu393]

vor 2 Stunden schrieb sirn00balot:

0x257Fda8bc9731B448EBd672c0Cce7dfC7d8C6F64 

Vielen Dank für deine Hilfe

 

Hat das was zu bedeuten, dass die VZ's ~ 96GB groß sind?

# du -h . --max-depth=1 .ethash/

8,0K    ./.ssh
36K    ./.pki
22G    ./.ethash
32K    ./.gnupg
75G    ./.ethereum
117M    ./.config
12K    ./.dbus
4,0K    ./.cache
96G    .

 

 

https://dwarfpool.com/eth/address?wallet=0x257Fda8bc9731B448EBd672c0Cce7dfC7d8C6F64

 

das ist schon sehr merkwürdig, habe jetzt mit mehr hashleistung gerechnet -> aber das ist ja "nix..."  da du recht große daten hast, könnte der miner vlt. auf solo-mining gegangen sein, diese theorie passt jedoch nicht zum pool-mining bei dwarfpool... mhh...

glaube die chance, das geheimnis zu lüften ist wohl eher gering..

Edited April 17, 2018 by azu393

[zagota]

Haben bei euch die User Root-Rechte?
Würde mich auch interessieren wie der Miner installiert wurde. Vielleicht findest du was im Browserverlauf, Bash-History oder im auth.log.

[Jokin]

Naja, man sieht ja wer die Dateien angelegt hat - wird wohl der User selber gewesen sein.

Man sieht ja auch wann sie angelegt wurden.

Und nun ja - ich denke mal, dass das jemand war, der sich an den Rechner setzte ohne dass sich der User abgemeldet hatte ... es reicht ja wenn man ein Script aufruft, welches das alles mal kurz installiert und schon mint das Geraet los, wenn es am Internet haengt?

Denkbar waere es, dass der Laptop bei dem Mitarbeiter zu Hause stand, Mitarbeiter war kurz auf dem Klo ... Sohnemann geht kurz ran, startet das Skript und schwupp ist alles am Laufen ohne dass Papa was davon merkt.

Aber mit 0,4 USD-Cent pro tag duerfte es ein paar Jahrhunderte dauern bis zum Lambo

[sirn00balot]

Die User haben in der Regel sudo Rechte.
Da ich es wohl schwer nachweisen kann und auch nicht mit Sicherheit, werd ich den kram nun löschen und gut ist.
Vielen Dank an eure Hilfe :-) sehr nett.

MfG

[Jokin]

... dennoch solltest Du als Admin die Suche nach Minern in Deinen Wartungsplan der Geräte mit aufnehmen.