服务器被植入挖矿软件|攻击分析

事件概述：SSH 爆破、挖矿程序植入

发生时间：2025年1月28日16时42分

攻击目标：获取远程访问权限，运行恶意挖矿程序，传染恶意挖矿程序

攻击源IP：72.167.48.36（坦佩）、194.87.226.210（阿根廷）、85.31.47.99（美国阿拉斯加）

事件简述

事情的起因是恰饭恰到一半，朋友发来微信

简单一看，命令行pkill命令杀死了一堆安全相关进程，还杀掉了xmrig（知名挖矿后门，同行是冤家了属于是），移动diicot（这是个挖矿组织，后面会讲），应该是为了伪装。之后后台执行diicot，关闭输出，还用history -c删除日志。

应急响应

当务之急是停机以缩小危害

问他要了一份日志方便分析，最近刚好在学内存取证，本来想着要份快照练练手，结果他已经把盘格了，好在是光速破案了。

技术分析

整一个事情，就是简单的ssh弱口令get shell，高端的黑客往往采用最朴素的手法，但是之后的提权、持久化以及扩大危害等操作还是有点东西的，告警内容长达95行，我们一起分析一下。

1、删掉又重新创建了Documents文件夹，可能是腾出空间

2、Crontab -r删除当前用户的所有定时任务，腾内存以及关闭一些定时执行的安全进程

3、一连串pkill杀掉安全相关进程以及xmrig（知名挖矿后门）和java（腾出内存）

4、移动了diicot，从85.31.47.99这个ip下载balu（疑似挖矿脚本），隐藏和隐蔽运行balu

上面这三个进程链代表正在接受远程ssh连接，没啥好看的。

接下来它给retea传入了一个密钥和一个用户名

然后又在服务器里写入了一个脚本，脚本第一部分使用密钥(KOFVwMxV7k7XjP7fwXPY6Cmp16vf8EnL54650LjYb6WYBtuSs3Zd1Ncr3SrpvnAU) 进行认证。如果密钥匹配，则不执行任何操作，否则打印“成功登录”并删除.retea 文件，这写的还挺阴险的，密钥传输错误输出成功登录让你放松警惕，然后悄悄删掉.retea跑路。

这部分就和之前持久化操作的一样，没啥好说的

这部分比较有意思，扫描这台机器下的所有用户，并分别为其生成一个弱口令字典，保存为pass文件，估计到时候要拿这个文件来爆破提权

然后这里又有一个network程序，又做了一遍持久化，然后定义了一个miner程序反复运行retea

总结

1、我没想到这个sh脚本连混淆加密都不做直接明目张胆的放着，如果我们要在别人电脑上执行sh恶意脚本的话，建议使用gzexe进行压缩加密，或者直接shc编译一下，再高级一点的话可以使用Bashfuscator，可以一定程度上逃过静态查杀。

2、密码尽量设置复杂一点，觉得不够安全可以上密钥。

3、发现被打了可以先不急着格盘，可以先dd或者LIME保存一份内存快照方便取证

写在最后

     转发已经作者同意。

本人坚决反对利用文章内容进行恶意攻击行为，一切错误行为必将受到惩罚，绿色网络需要靠我们共同维护，推荐大家在了解技术原理的前提下，更好的维护个人信息安全、企业安全、国家安全。

    未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

原文始发于微信公众号（云下信安）：服务器被植入挖矿软件|攻击分析