目录
案例一:挖矿样本-Win&Linux-危害&定性
案例二:Linux-Web安全漏洞导致挖矿事件
案例三: Windows-系统口令爆破导致挖矿事件
案例一:挖矿样本-Win&Linux-危害&定性
windows样本
非常明显的特征就是cpu的占有率非常的高,gpu的占有率也比较高
查看挖矿脚本的配置文件
里面会有对方的url地址,以及钱包地址
把url放入到微步在线中去扫描,可以发现显示矿池
netstat查看网络连接
文件检测
linux样本
cpu在执行完挖矿程序后直接爆满
查看网络连接
分析这个ip
kill -9 可以直接删除掉
案例二:Linux-Web安全漏洞导致挖矿事件
背景
某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题,而且服务器 CPU 的使用率异常高,运维人员认为该公司服务器可能被黑客入侵了,现小李向 XX 安全公司求助,解决网站跳转问题。
进来以后查看进程,这里可能是环境的原因,正常这里应该有个进程满了
查看计时任务 update.sh就是后门文件
确定如何入侵,搭建了8080-tomcat网站
去查看网站目录
这段代码的意思就是,如果你是从百度等网站跳转过来的那么,把你跳转到别的网站,如果你从域名搜索过来那将不会发生
<script type="text/javascript">
var search=document.referrer;
if(search.indexOf("baidu")>0||search.indexOf("so")>0||search.indexOf("soso")>0||search.indexOf("google")> 0||search.indexOf("youdao")>0||search.indexOf("sogou")>0)
self.location="https://www.XXXXXXXX.com";
</script>
该站点存在一个struts2搭建的网站,有漏洞就自己先利用一下,然后根据漏洞确认日志中一样日志别人的ip
直接可以利用攻击进行命令执行
这是我自己打的日志
翻到之前的日志,确定了ip
然后去寻找他上传的木马
利用河马查杀直接去扫描tomcat整个目录
https://dl.shellpub.com/hm/latest/hm-linux-amd64.tgz?version=1.8.3
结果
查看这个文件
去日志当中查看谁访问过这个webshell
第一次访问
之前他用post访问过漏洞网站,可能是上传文件
webshell上传之后会去上传攻击样本,去看看时间是否对应
查看update.sh的内容
发现他会下载sysupdate,寻找这个文件
上传文件定性
update下面还有IP地址放到检测平台检测
微步在线检测为正常
奇安信检测为
文件里面还有ssh软连接
这篇文章介绍过
第144天:内网安全-Linux权限维持&OpenSSH&PAM后门&SSH软链接&公私钥登录-CSDN博客
案例三: Windows-系统口令爆破导致挖矿事件
参考文章:一次真实的应急响应案例(Windows2008)——暴力破解、留隐藏账户后门与shift粘贴键后门、植入WaKuang程序——事件复现(含靶场环境)_应急响应靶场-CSDN博客
背景
某天客户反馈:服务器疑似被入侵,风扇噪声很大,实验室因耗电量太大经常跳闸,服务器疑似被挖矿。
进入服务器中,里面有java程序在运行,并且还附有ip地址
扫描url
发现是矿池因为挖矿程序非常占cpu或者内存,所以先去清除掉
右键属性会看到文件的地址
去到文件目录下
把exe文件上传分析,为恶意文件
结束进程
然后需要去排查是否还留有自启动或者计划任务,防止再次启动
计划任务
这里我直接利用火绒剑去排查,删除掉计划任务,同时删除木马目录(但是不太理解为什么需要删除掉进程还显示在运行,重启才删除掉了)
但是这里有个弊端就是不显示计划任务创建的时间,所以还是建议去windows自带的计划任务管理器中确认时间,以便于后期溯源,时间为2022/3/23 9:46:17
进程无异常标红
登录执行和开机自启动正常
去查看服务是否异常
映像劫持中发现异常
这是按五下粘滞键会执行cmd命令
在不登陆的情况能够有可能执行cmd命令窗口,但是环境好像有要求,这是截取了别人的图
这个在火绒剑中删除不掉
去注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
找sethc.exe右键输出,删的太快忘记截图
pchunter中发现隐藏账户
查看网络连接-正常,本来是netstat -an就可查看不知道为啥会有这么多端口开放,把tcp顶到看不见了
完成掉以上布置只是清除了后门还没有定位ip
已知计划任务创建的时间为: 2022/3/23 9:46:17
去看时间在 23号九点46之前的
其中在3月21日发现在同一时刻有大量登录失败的数据包,猜测有人爆破
里面均未显示IP
在3月21日16:27:12首次成功登录并且显示了目标ip 192.168.226.1
在3月21日16:28:12创建了隐藏账户
16:28:12设置未管理员账户
16:28:12 添加到管理员组