某日通过TSA收到如下告警事件
攻击类型:根据攻击数据包,判断确为thinkphp框架漏洞攻击
攻击者IP:xx.xx.xx.xx
在对攻击者 ip进行封堵后,尝试进行溯源,溯源过程如下:
1、
访问攻击主机80端口,跳转到某大学智慧农业系统,初步判断此服务器已成为挖矿肉鸡。
2、
Thinkphp框架漏洞获取该肉鸡服务器webshell,地址:http://xx.xx.xx.xx/shell4.php;密码:rebeyond,查看服务器网络链接状态,发现进程文件networkmanager大量外链,通过在线沙箱分析,判定该文件为挖矿链自动抓鸡脚本。
3、
查看服务器网络链接状态,发现连接xx.xx.xx.xx的13531端口,找到对应进程文件phpupdate,并且与networkmanager文件为同一时间创建,通过在线沙箱分析和fofa对xx.xx.xx.xx搜索,判定该文件为矿池链接文件。
4、
本次溯源通过获取挖矿肉鸡webshell,通过进程分析,获取找到矿池地址:xx.xx.xx.xx。获取到自动抓鸡脚本样本与挖矿病毒样本。Ip查询归属如下:
本文始发于微信公众号(黑云信息安全):某行动的一次溯源分享
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论