某行动的一次溯源分享

  • A+
所属分类:安全文章

某日通过TSA收到如下告警事件

某行动的一次溯源分享 

攻击类型:根据攻击数据包,判断thinkphp框架漏洞攻击

攻击IPxx.xx.xx.xx

在对攻击者 ip进行封堵后,尝试进行溯源,溯源过程如下:

1

访问攻击主机80端口,跳转到某大学智慧农业系统,初步判断此服务器已成为挖矿肉鸡。

某行动的一次溯源分享

2

Thinkphp框架漏洞获取该肉鸡服务器webshell,地址:http://xx.xx.xx.xx/shell4.php;密码:rebeyond,查看服务器网络链接状态,发现进程文件networkmanager大量外链,通过在线沙箱分析,判定该文件为挖矿链自动抓鸡脚本。

 

某行动的一次溯源分享

某行动的一次溯源分享

某行动的一次溯源分享

某行动的一次溯源分享

某行动的一次溯源分享


3

查看服务器网络链接状态,发现连接xx.xx.xx.xx13531端口,找到对应进程文件phpupdate,并且与networkmanager文件为同一时间创建,通过在线沙箱分析和fofaxx.xx.xx.xx搜索,判定该文件为矿池链接文件。

 

某行动的一次溯源分享

某行动的一次溯源分享

某行动的一次溯源分享

某行动的一次溯源分享

4

本次溯源通过获取挖矿肉鸡webshell,通过进程分析,获取找到矿池地址:xx.xx.xx.xx。获取到自动抓鸡脚本样本与挖矿病毒样本。Ip查询归属如下:

某行动的一次溯源分享



本文始发于微信公众号(黑云信息安全):某行动的一次溯源分享

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: