莫再等闲视之！挖矿病毒其实与你近在咫尺******

　　近年来，由于虚拟货币的暴涨，受利益驱使，黑客也瞄准了虚拟货币市场，其利用挖矿脚本来实现流量变现，使得挖矿病毒成为不法分子利用最为频繁的攻击方式之一。

　　由亚信安全梳理的《2021年度挖矿病毒专题报告》（简称《报告》）显示，在过去的一年，挖矿病毒攻击事件频发，亚信安全共拦截挖矿病毒516443次。从2021年1月份开始，挖矿病毒有减少趋势，5月份开始，拦截数量逐步上升，6月份达到本年度峰值，拦截次数多达177880次。通过对数据进行分析发现，6月份出现了大量挖矿病毒变种，因此导致其数据激增。

　　不仅老病毒变种频繁，新病毒也层出不穷。比如，有些挖矿病毒为获得利益最大化，攻击企业云服务器；有些挖矿病毒则与僵尸网络合作，快速抢占市场；还有些挖矿病毒在自身技术上有所突破，利用多种漏洞攻击方法。不仅如此，挖矿病毒也在走创新路线，伪造CPU使用率，利用Linux内核Rootkit进行隐秘挖矿等。

　　从样本数据初步分析来看，截止到2021年底，一共获取到的各个家族样本总数为12477248个。其中，Malxmr家族样本总共收集了约300万个，占比高达67%，超过了整个挖矿家族收集样本数量的一半；Coinhive家族样本一共收集了约84万个，占比达到18%；Toolxmr家族样本一共收集了约64万个，占比达到14%。排名前三位的挖矿病毒占据了整个挖矿家族样本个数的99%。

　　挖矿病毒主要危害有哪些？

　　一是能源消耗大，与节能减排相悖而行。

　　虽然挖矿病毒单个耗电量不高，能耗感知性不强，但挖矿病毒相比于专业“挖矿”，获得同样算力价值的前提下，耗电量是后者的500倍。

　　二是降低能效，影响生产。

　　挖矿病毒最容易被感知到的影响就是机器性能会出现严重下降，影响业务系统的正常运行，严重时可能出现业务系统中断或系统崩溃。直接影响企业生产，给企业带来巨大经济损失。

　　三是失陷主机沦为肉鸡，构建僵尸网络。

　　挖矿病毒往往与僵尸网络紧密结合，在失陷主机感染挖矿病毒的同时，可能已经成为黑客控制的肉鸡电脑，黑客利用失陷主机对网内其他目标进行攻击，这些攻击包括内网横向攻击扩散、对特定目标进行DDoS攻击、作为黑客下一步攻击的跳板、将失陷主机作为分发木马的下载服务器或C&C服务器等。

　　四是失陷主机给企业带来经济及名誉双重损失。

　　失陷主机在感染挖矿病毒同时，也会被安装后门程序，远程控制软件等。这些后门程序长期隐藏在系统中，达到对失陷主机的长期控制目的，可以向主机中投放各种恶意程序，盗取服务器重要数据，使受害企业面临信息泄露风险。不仅给而企业带来经济损失，还会带来严重的名誉损失。

　　2021年挖矿病毒家族分布

　　挖矿病毒如何进入系统而最终获利？

　　挖矿病毒攻击杀伤链包括：侦察跟踪、武器构建、横向渗透、荷载投递、安装植入、远程控制和执行挖矿七个步骤。

　　通俗地说，可以这样理解：

　　攻击者首先搜寻目标的弱点

　　↓

　　使用漏洞和后门制作可以发送的武器载体，将武器包投递到目标机器

　　↓

　　在受害者的系统上运行利用代码，并在目标位置安装恶意软件，为攻击者建立可远程控制目标系统的路径

　　↓

　　释放挖矿程序，执行挖矿，攻击者远程完成其预期目标。

　　图片来源网络

　　挖矿病毒攻击手段不断创新，呈现哪些新趋势？

　　●漏洞武器和爆破工具是挖矿团伙最擅长使用的入侵武器，他们使用新漏洞武器的速度越来越快，对防御和安全响应能力提出了更高要求；

　　●因门罗币的匿名性极好，已经成为挖矿病毒首选货币。同时“无文件”“隐写术”等高级逃逸技术盛行，安全对抗持续升级；

　　●国内云产业基础设施建设快速发展，政府和企业积极上云，拥有庞大数量工业级硬件的企业云和数据中心将成为挖矿病毒重点攻击目标；

　　●为提高挖矿攻击成功率，一方面挖矿病毒采用了Windows和Linux双平台攻击；另一方面则持续挖掘利益最大化“矿机”，引入僵尸网络模块，使得挖矿病毒整体的攻击及传播能力得到明显的提升。

　　用户如何做好日常防范？

　　1、优化服务器配置并及时更新

　　开启服务器防火墙，服务只开放业务端口，关闭所有不需要的高危端口。比如，137、138、445、3389等。

　　关闭服务器不需要的系统服务、默认共享。

　　及时给服务器、操作系统、网络安全设备、常用软件安装最新的安全补丁，及时更新 Web 漏洞补丁、升级Web组件，防止漏洞被利用，防范已知病毒的攻击。

　　2、强口令代替弱密码

　　设置高复杂度密码，并定期更换，多台主机不使用同一密码。

　　设置服务器登录密码强度和登录次数限制。

　　在服务器配置登录失败处理功能，配置并启用结束会话、限制非法登录次数和当登录次数链接超时自动退出等相关防范措施。

　　3、增强网络安全意识

　　加强所有相关人员的网络安全培训，提高网络安全意识。

　　不随意点击来源不明的邮件、文档、链接，不要访问可能携带病毒的非法网站。

　　若在内部使用U盘，需要先进行病毒扫描查杀，确定无病毒后再完全打开使用。

　　（策划：李政葳 制作：黎梦竹）

南佐“古国”：黄土高原上最早的国家******

　　“宫城”祭祀区出土的带盖塞陶瓶 作者供图

　　“宫城”区发掘现场 作者供图

　　“宫城”祭祀区出土的白陶带盖簋 作者供图

　　“宫城”祭祀区炭化水稻出土区域（局部） 作者供图

　　【考古中国】

　　我们常说中华文明五千年。什么是“文明”？现在一般所说的“文明”，多指对“Civilization”等西文词语的意译，可以理解为国家管理下物质、精神和制度创造的总和。“国家是文明社会的概括”，国家固然不等同于“文明”，但要称得上“文明”，则必须进入国家阶段。恩格斯曾提出国家产生的两个标志，一是“按地区来划分它的国民”，二是“公共权力的设立”。按地区划分国民指以地缘关系代替血缘关系，公共权力的集中体现则是“王权”。以此衡量，距今5100年左右的南佐都邑遗址，是黄土高原上最早出现国家社会的标志，为中华文明五千多年增添了又一实证。

　　甘肃庆阳西峰西郊的南佐遗址，坐落在黄土高原第一大塬——董志塬上，传说中这里是黄帝部族的重要活动地域，也是以农业著称的周人祖先不窋的老家。南佐遗址发现于1958年，1984—1986年和1994—1996年有过两个阶段的发掘，从2021年开始第三阶段的发掘和调查、勘探工作，基本确认这是一处以仰韶文化晚期大型聚落为主体的遗址，遗址面积在600万平方米以上，可能有外环壕。聚落中部是由9座方形夯土台及其环壕围成的面积约30万平方米的核心区，核心区中部偏北是数千平方米的由“护城河”和夯土宫墙围成的“宫城”。“宫城”中心为主殿，“九台”之外还有多处居住区、夯土台、沟渠水利设施等遗存，出土了大量白陶、黑陶等珍贵遗物和大量水稻，从多个方面显现出早期国家和文明社会的气象。

　　数千人数年建成的“国家级”工程

　　南佐聚落不仅整体规模巨大，而且宫殿、夯土台、壕沟水利设施等的建筑工程量也很惊人。以聚落中部的“九台”来说，每座夯土台约40米见方，现存还有5~7米高，复原起来就像九座小金字塔。每座台子外周有宽约20米、深约10米的方形内环壕，内环壕的侧壁及底部有2~4米厚的夯土护壁，以防流水对黄土沟壁的侵蚀。我们推测环壕不仅有礼仪象征和防御作用，而且是与其他沟壕池沼连通的、有实际用途的大型水利工程。内环壕外还有一周宽约20米的外环壕，内、外壕总长度估计在5千米以上。“九台”环壕工程总土方量当在75万立方米以上，以当时的条件，大概需要5000人工作1年时间才能完成。如果以壕沟中挖出来的土夯筑“九台”，所费工时应当不比挖筑壕沟少。

　　再看中央“宫城”区。有夯土围墙的长方形“宫城”东西宽约55米、南北长约67米，面积在3600平方米以上。“宫城”外有宽约15米、深10米多的“护城河”，它的两侧也有夯土护壁。加上“护城河”，整个“宫城”区占地面积就有8000多平方米。“宫城”中部偏北的主殿占地面积700多平方米，两个顶梁柱柱洞直径各约1.5米，中央火坛（火塘）直径3.2米——差不多是两个成年人的身长，规模之大前所未见。“宫城”东西两侧还各有一列侧室（侧殿）。所有这些宫墙、房墙都以版筑方法夯筑得十分坚实精整，窄处宽1~1.5米，最宽处可达5米，现存高度1.5~3.5米，是国内发现年代最早、规模最大、保存最好的夯土建筑遗存。

　　 “宫城”区建筑材料还包括土坯和最早的红砖，各处地面、墙壁都以石灰多层涂抹，甚至宫墙也不例外，这也是国内最早大范围使用白灰面装饰建筑的实例。我们可以想见，五千年前的南佐“宫城”，到处都是那么洁白明亮，和大家熟悉的北京紫禁城的色彩大不相同。我们估计，“宫城”区的建筑工程量应该不会少于“九台”区。

　　经勘探和试掘，在“九台”外其他区域还发现有多处白灰面窑洞式房屋居住区、夯土台、壕渠水利工程等，加上可能存在的外环壕，整体建设工程量巨大。所有这些工程的主体部分理应是大体同时建造完成的，因此需要数千人劳作数年，这还不包括建筑工程的后勤保障在内。据此推测，南佐都邑人口或许有上万之众。也只有出现了强制性的区域“王权”，集合起国家力量，才有可能完成如此壮举。

　　南佐所在的董志塬上还有一些面积为数十万平方米的聚落，出土的精美白陶、黑陶说明这些聚落的级别较高，可能是从属于南佐的卫星聚落。陇东甚至整个黄土高原，分布着大量仰韶晚期聚落遗址，但还没有第二处能够和南佐的规模相当。即便是秦安大地湾聚落延续到这个时期，规模也是远次于南佐。南佐聚落如此大的体量，“九台”、壕沟和宫殿建造所需要的强大组织调动能力，当是区域公共权力或者区域王权出现的最有力证明。南佐都邑大概是从周围迁入很多人口，集中规划建设而成，这必然会造成一定程度的血缘社会重组，形成具有地缘关系的早期国家组织。由此推断，当时在黄土高原地区应当已经出现了一个以南佐为核心的“古国”。

　　中轴对称建筑格局的滥觞

　　南佐都邑及“宫城”具有清晰的中心对称、中轴对称格局。“九台”及核心区位于聚落中心，“宫城”位于“九台”中心，主殿位于“宫城”中心，大火坛位于主殿中心。主殿坐北朝南，从主殿大堂后部两个顶梁柱中间，向南到主殿中门（共有三门）、“宫城”南门，构成大致南北向的中轴线，东西两侧的侧室（侧殿）和壕沟对称分布。

　　再放大一些视野，“九台”中的北台就在这条中轴线的北端，东西两侧各有四台互相对称。“宫城”南墙外还有一道与其平行的外墙，类似后世的萧墙或影壁。外墙的门与“宫城”南门错开几米，两道墙之间的空间兼具瓮城功能，增强了“宫城”的封闭性和防御性。如此布局严整的多个圈层结构的南佐聚落，应是阶级秩序的礼制性体现，开后世古典建筑格局中轴对称的先河。

　　我们推测“九台”和主殿应当主要是祭祀礼仪场所，“宫城”区部分侧室（侧殿）有可能作为首领人物的居所。我们注意到由窑洞式建筑组成的普通居住区基本位于“九台”以外，推测“九台”所围绕的30万平方米的核心区，可能整体都属于与祭祀相关的“圣区”或者贵族居住区。这是一种将神权和区域王权紧密结合在一起的、以王权为核心的建筑格局，凸显了王权至上，与西亚等地神庙和王宫分开且以神庙为核心的情况有显著区别。

　　礼制出现和阶级分化

　　南佐“宫城”区出土了白陶、黑陶、绿松石珠等贵重物品，成套的彩陶、朱砂陶、白衣陶、白泥堆纹陶，涂抹朱砂的石镞、骨镞，以及大量炭化水稻遗存，与普通居址区形成鲜明对照，显示当时不但有了较高水平的专业化分工，而且已出现礼制和阶级分化。

　　白陶、黑陶在黄土高原罕见，但在南佐“宫城”区却发现不少，精致者陶胎最薄处仅有一两毫米，表面光滑细腻，有釉质光泽。如此轻薄精美的陶器，理应用快轮拉坯的方法制作，但我们一直没有在陶器上发现快轮旋转痕迹，制作工艺还是个谜。制作彩陶是黄土高原的传统，南佐有些彩陶表面有釉质光泽，有些彩陶成套出土，具有礼器性质。比如在主殿以东祭祀区就集中出土9件小口平底的彩陶酒瓶，每件高度都在60厘米左右，还都配有特殊的盖塞——可既盖又塞，以防止酒精挥发。南佐的朱砂陶、白衣陶、白泥堆纹陶等也都是具有祭祀礼仪性质的特殊器物。朱砂常涂在一种带有圆饼装饰的鼓类器物上，器表内外涂白衣的做法则见于簋、双腹盆、钵、缸、罐、瓮等很多器物上。白泥堆纹陶罐在其他遗址很罕见，但在南佐仅“宫城”东部祭祀区就出土数百件，大小不一，可能是成套的祭祀礼器。经测定，南佐大部分陶器烧造温度在1000℃以上，最高达1116℃，而一般新石器时代陶器烧造温度在700～1000℃之间。令人惊讶的，还有“宫城”东部祭祀区数以百万粒计的炭化水稻的发现，粟、黍数量极少，反之在“宫城”其他区则绝大多数都是炭化粟、黍。黄土高原农业本来就以粟、黍为主而少见水稻，以珍贵的水稻献祭神祇祖先，也应当是礼制的反映。

　　南佐“宫城”区出土物还体现出与长江中游、黄河下游等地区的远距离联系。白陶、黑陶都最早出现于六七千年前的长江中游地区，南佐这两类陶器的出现有受到长江中游文化启示的可能性。尤其是南佐不少黑陶属于夹炭陶，这也是长江流域的古老传统。有意思的是，南佐有的黑陶仅覆盖陶器表面很薄一层，已能做到很好地控制渗碳层厚度，工艺技术和良渚文化最为接近，不排除与良渚文化有交流。据科技考古检测，南佐白陶所用原料为高岭土和瓷石，高岭土质量与后世制造白瓷的瓷土质量接近，瓷石原料可能产自南方，有些白陶上面的海洋结晶涂层原料可能来自海岱地区。黄土高原不产绿松石、朱砂，南佐的这两类原料有来自长江中下游地区的可能性。大量水稻不排除当地种植的可能性，但也有可能是从长江中游等地远距离贸易获得。可见南佐“古国”应当存在对远距离贸易获取稀缺资源的控制，这也是国家社会的特征之一。

　　目前，南佐的考古工作才开了个头，很多谜团还有待后续解开。但据现有的发现就已经能够证明，中华文明和苏美尔文明、埃及文明一样，是诞生于五千年前的三大原生文明之一。

　　（作者：韩建业，系中国人民大学历史学院教授、博导，南佐遗址考古发掘项目负责人）