前言:
服务器被门罗币挖矿,麻利的干活。
信息:被告知三四月被攻击。
正片:
牵扯到挖矿,都是自动化,计划任务入手无疑是最好的。
当前用户:root
Crontab 查看计划任务,无果。
日志:只有四月到五月,无后续
搜索门罗币特征:无果。
一头雾水,没有计划任务,那怎么能最优化挖矿呢?
灵机一动,root用户单纯的crontab 只能查看当前root用户的计划任务。一般root密码复杂度不易被爆破。
1.查看所有用户的计划任务,发现异常点。
cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}
2.找到当前目录,查看是否存在隐藏脚本
发现隐藏文件.configrc,其中有a /b等文件
3.进一步查看a/b文件到内容。
a文件内的脚本内容,其主要作用是保持进程运行,
通过查看系统cpu信息来对优化挖掘模块
查看b文件对应隐藏脚本内容,发现通过重新配置公钥文件创建用户mdrfckr
4.对b中run脚本解码,发现与C2服务的通信。
5.看到这里是不是很眼熟。这不是 outlaw 僵尸网络。正巧最近从paper看过到一篇outlaw再度来袭的文章,过程几乎相同。
从文章中得知,该僵尸网络是通过ssh爆破,爆破成功后,计算机会被感染,之后会生成 a/b/c 三个主目录。具体细节如下:https://paper.seebug.org/1204/
C2服务器ip相同。
在本次应急中,未找到计算任务中规定c脚本文件。
6.通过ssh日志查看,发现了局域网中有一台机器,进行了为期一周的ssh爆破行为。最后爆破成功。
7.最后查看了一下,关于计划任务用户未进行限制。
总结:
-
局域网中存在被攻破的服务器。
-
内网进行ssh爆破,进行门罗币挖矿。
走过,路过。不要错过。点个关注再走呗。
长按识别二维码,关注极梦C公众号哦~~
原文始发于微信公众号(极梦C):巧遇门罗币挖矿的应急
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论