自2018年开始,市面上矿机中毒现象频发。相较之前有较高辨识度的中毒表现方式如矿工名、挖矿地址被篡改,无法进入矿机后台等,目前来看病毒已然更为狡猾,中毒表现形式也进一步升级。本篇文章主要与大家分享下最近小可爱较多遇到的中毒现象的表现和排查过程,为大家做一个总结输出,供大家参考与自查。
矿机中毒常见表现:
- 无法进入矿机后台
- 挖矿地址矿工名被篡改:被篡改后的矿池多为nicehash等(如下图)
- 无法从矿机后台升级固件
- 矿机无规律掉线,又在短时间内自动重启
- 算力受影响(算力降低或0算力)
- 网络断开等等
如何有效防止矿机中毒
- 购买二手机器前,建议卡刷并进行一段时间网络隔离
- 矿机在非官方维修点维修后请及时更新固件,修改矿机登陆密码
- 不使用第三方超频固件
- 不浏览可疑网站
- 使用官方安全固件(官网中关闭SSH功能固件)
杀毒方法
- 需要进行网络隔离
- 到矿机官方售后获取相关杀毒软件,获取成功后按操作步骤进行杀毒
- 如若杀毒不成功建议卡刷机器
案例分享
根据目前用户反馈,中毒现象基本仍发生在蚂蚁S9系,L3+,L3++等机型。此处以蚂蚁矿机S9为案例,讲解下中毒相关现象和排查步骤。
1、矿机表现分析
- 多台s9出现不定时无规律机器掉线又自动重新连接到矿池——异常
- 矿机日志显示网络存在重大问题(ping后确定网络无问题)——异常
- 矿机后台挖矿地址、矿工名未被篡改——正常
- 可进入矿机后台——正常
- 同矿场同网段其他机器型号(L3+以及T17)机器未出现此类情况——正常
2、矿机后台数据分析
在排除网络和电力问题后,随机挑出一台故障机器的后台,查看后台数据,判断是否有异常数据可以用来判断问题所在。
异常数据A:挖矿地址为Dead
- 可能原因1:矿池故障——经确认,矿池服务正常
- 可能原因2:DNS故障(目的是看是否由于矿机无法正常解析矿池IP导致不能进行挖矿)——尝试使用解析到矿池的IP地址去做挖矿地址:状态仍为dead,证明跟DNS无关
使用解析到矿池的IP地址去做挖矿地址可参考(不建议用户直接用IP地址挖矿,此方法仅作为故障排除使用):https://help.poolin.me/hc/zh-cn/articles/360034993672
异常数据B:各算力板算力均为0
- 算力板异常——多台机器不间断出现此类现象,可能性不大
- 控制板异常——多台机器不间断出现此类现象,可能性不大
- 其他因素导致的异常
其他正常数据分析
- 算力板及芯片(asic)数量:s9系列机器3块算力板,每块算力板63个芯片
- 硬件错误:这台机器HW值较高,但是HW百分比为0.0051%,在正常范围内(一般认为低于3%即可)
- 温度Temp:73(s9芯片温度不超过135)
- 检查风扇转速Fan:Fan3:4800,Fan6:4320(风扇转速在2000-7000内算正常,两个风扇差值不超过3000)
后台数据分析结论:从矿机后台截图来看,除了状态显示Dead导致矿机算力为0外,其他数值无异常
3、矿机日志分析
显示网络失联,但已检测网络、DNS等均无异常,推测是病毒运行占用网络,导致机器不定期掉线。
4、确认是否矿机中毒
部分软件有病毒查杀功能,可跟矿机官方客服咨询用什么软件查杀。此案例中找到蚂蚁矿机的批量杀毒工具。
5、使用杀毒软件进行杀毒
查毒软件基本都支持杀毒,直接对机器进行杀毒即可,推荐使用矿机厂商官方杀毒软件。杀毒软件杀不成功的,请务必卡刷。
常见问题
Q:目前只有几台机器中毒,没有很大影响,还需要杀毒么?
A:病毒通过网络传播,如果长时间不处理,会导致整个局域网下矿机无一幸免,早发现早解决。
Q:只能卡刷,费时费力,只恢复出厂设置行不行?
A:如果使用官方杀毒软件仍然显示【杀毒失败】,或是矿机由于某种原因不能通过官方杀毒软件杀毒,则只能通过卡刷进行杀毒。
Q:非官方杀毒软件可行么?
A:建议咨询矿机官方售后,矿机已经中毒了,不要让矿机的毒更深了。