Задача: Как заблокировать Mining через Minergate в локальной сети.
Даже от такого порой нужно защищаться.
Вот у меня один сотрудник решил попробовать поэксплуатировать ресурсы рабочего железа в целях наживы.
А именно он взял утилиту Minergate под Windows и настроил запуск как служба пока только на своем ПК, ну а дальше все зависит от квалификации сможет ли он распространить автоматическую установку на всю локальную сеть и сервера.
Чтобы знать что блокировать я взял Virtualbox с осью на борту Windows 7 Pro x64, поставил на нее клиентскую часть Minergate, поставил утилиту TCPView и включая майнинг очередной валюты начал составлять список удаленных портов который соответствуют. Но также на официальном сайте в разделе Форум я уже натыкался на такую информацию, но сейчас все же решил проверить, а верна ли она или что-то изменилось.
Итого что удалось обнаружить:
ETH |
45791/tcp |
AEON |
45690/tcp |
BCN |
45550/tcp |
ETC |
45777/tcp |
ETH |
45791/tcp |
XDN |
45620/tcp |
XMR |
45590/tcp |
DSH |
45720/tcp |
FCN |
45610/tcp |
INF8 |
45750/tcp |
MCN |
45640/tcp |
QCN |
45570/tcp |
Имея эти данные на руках я сделал самое простое правило, если какой либо трафик из локальной сети пересылается на эти порты удаленных хостов, то он блокируется:
[ekzorchik@router] > ip firewall filter add chain=forward action=drop tcp-flags="" protocol=tcp src-port=45791,45690,45550,45777,45791,45620,45590,45720,45610
,45750,45640,45570 log=yes log-prefix="_minergate" comment=Minergate
В целях отладки я включал ведение лога, а когда все проверил логирование отключил.
от 22.01.2017, для XMR обнаружил еще один порт 45560 внес его в правило выше, а так при попытке соединения:
ekzorchik@srv-trusty:~$ sudo minergate-cli -user user@host.ru -xmr 1
[2018-01-22 13:37:53.098] [ info] Pool parameters query...
[2018-01-22 13:37:53.308] [ info] Loading miners...
[2018-01-22 13:37:53.309] [ info] Miners loaded successfully
[2018-01-22 13:38:03.153] [ info] XMR hashrate: 0 H/s
[2018-01-22 13:38:13.152] [ info] XMR hashrate: 0 H/s
Ха, облом, а майнинг не доступен.
Т.к. добавляемое правило добавляется в самый конец всех правил, то чтобы он заработало его нужно для удобства через утилиту winbox передвинуть почти в самых верх перед правила разрешающими подключение к Mikrotik.
Когда правило активировано, то если запустить клиент Minergate при этом открыв утилиту TCPView можно видеть как пытаются осуществиться соединения на указанные порты и ничего не выходит:
На заметку: Но если соединение от клиентской части Minergate уже было установлено, включаемое правило не отработает. Нужно завершить все работавшие ранее подключения и только тогда оно будет активировано.
Теперь открыв правило и перейдя на вкладку Statistics видно, как изменяется статистика работы правила — в общем это так для наглядности.
Работает. Прошли три дня не моей смены, судя по логам запуска утилиты MinerGate не было, было лишь однажды и после попытки прекратились. Да я понимаю, что это не 100% выход из ситуации по превращению рабочих систем в средство добычи цифровых валют, но все же пусть будет лучше. К тому же MinerGate удобен для новичков, а раз так то и популярен что дает задачу, блокировать попытки наживы стоит. Если решение будет найдено более красивым и универсальным способом оно конечно же буде отражено в дополнении к этой заметке. А пока у меня всё, с уважением автор блога Олло Александр aka ekzorchik.