巧遇门罗币挖矿的应急

admin 2022年5月24日09:25:45应急响应评论10 views888字阅读2分57秒阅读模式

前言:

    服务器被门罗币挖矿,麻利的干活。

    信息:被告知三四月被攻击。


正片:

牵扯到挖矿,都是自动化,计划任务入手无疑是最好的。

    当前用户:root

        Crontab 查看计划任务,无果。


        日志:只有四月到五月,无后续


        搜索门罗币特征:无果。


    一头雾水,没有计划任务,那怎么能最优化挖矿呢?

    灵机一动,root用户单纯的crontab 只能查看当前root用户的计划任务。一般root密码复杂度不易被爆破。  



1.查看所有用户的计划任务,发现异常点。


cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}


巧遇门罗币挖矿的应急


2.找到当前目录,查看是否存在隐藏脚本 


巧遇门罗币挖矿的应急


发现隐藏文件.configrc,其中有a /b等文件


3.进一步查看a/b文件到内容。


  巧遇门罗币挖矿的应急

    a文件内的脚本内容,其主要作用是保持进程运行,

    通过查看系统cpu信息来对优化挖掘模块


巧遇门罗币挖矿的应急

    查看b文件对应隐藏脚本内容,发现通过重新配置公钥文件创建用户mdrfckr

 

4.brun脚本解码,发现与C2服务的通信。


巧遇门罗币挖矿的应急

 

5.看到这里是不是很眼熟。这不是  outlaw 僵尸网络。正巧最近从paper看过到一篇outlaw再度来袭的文章,过程几乎相同。


从文章中得知,该僵尸网络是通过ssh爆破,爆破成功后,计算机会被感染,之后会生成 a/b/c 三个主目录。具体细节如下:https://paper.seebug.org/1204/

C2服务器ip相同。

 

在本次应急中,未找到计算任务中规定c脚本文件。


6.通过ssh日志查看,发现了局域网中有一台机器,进行了为期一周的ssh爆破行为。最后爆破成功。

 

7.最后查看了一下,关于计划任务用户未进行限制。

 

总结:

  1.   局域网中存在被攻破的服务器。

  2.   内网进行ssh爆破,进行门罗币挖矿。

 

    

 

走过,路过。不要错过。点个关注再走呗。

巧遇门罗币挖矿的应急

长按识别二维码,关注极梦C公众号哦~~

       

                        

       

                        


原文始发于微信公众号(极梦C):巧遇门罗币挖矿的应急

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月24日09:25:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  巧遇门罗币挖矿的应急 http://cn-sec.com/archives/817942.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: