由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!
PS:最近不是在重保嘛,一边在做监控的同时,空闲也在溯源找攻击者,但基本都是肉鸡代理的流量打过来的,各种批量扫描,上线挖矿病毒啊或者漏扫这些。
在监测的时候,发现一个恶意告警详情如下:(执行的操作,去挖矿病毒下载地址下载脚本,并执行)
通过对请求体的域名,放到微步进行分析,发现为挖矿病毒的下载地址域名,于是打算先去反制攻击IP服务器,看能否在肉鸡上找到真实攻击者信息。
通过对肉鸡IP进行简单的信息收集,好家伙,一个公网开放的OpenWrt的shell终端orz,猜测是攻击者为了方便操作直接映射了个公网shell,但是设置了账号密码验证,尝试了几组账号密码弱口令,没成功,就没看了。
于是来到登录页面,也就是iStoreOS软路由系统的登录界面,直接开放在公网而且还是用的默认密码(root/password),难怪会成为肉鸡。
在系统,计划任务面板,写入计划任务,每分钟执行一次,并在vps用nc开启监听,反弹shell成功
经测试,上线的环境不是docker
nc反弹shell的环境用着不方便,viper开启监听,生成木马,vps开启http服务
wget下载,赋予可执行权限,执行上线到viper
上线viper
把文件大概的翻了一遍,通过find命令查找常见代理关键字,看看能否找出代理文件,例如vpn、frp等等(但攻击者,一般都会执行后,挂在进程中,并把代理的本体文件杀掉,避免被检测到。)或者历史命令,翻日志,但是里面涉及的IP太多了,没找到什么关键线索。
于是去查看实时连接状态信息,but.......,几十个IP与其有连接,估计是成了很多人肉鸡了,到这也就放弃溯源了,几十个IP,排查起来很费时,其次也很难确定到底是谁发起的攻击。
END
原文始发于微信公众号(无影安全实验室):记一次重保期间的实战溯源反制
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论