文章目录
- 挖矿样本-Win&Linux-危害&定性
- Linux-Web安全漏洞导致挖矿事件
- Windows-系统口令爆破导致挖矿事件
- Linux-个人真实服务器被植入挖矿分析
挖矿样本-Win&Linux-危害&定性
危害:CPU拉满,网络阻塞,服务器卡顿、耗电等
定性:威胁情报平台上传解析分析,文件配置查看等
挖矿脚本会根据宿主机器电脑配置进行"合理挖矿"
上传分析挖矿脚本
Linux-Web安全漏洞导致挖矿事件
某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题,而且服务器CPU的使用率异常高,运维人员认为该公司服务器可能被黑客入侵了,现小李向XX安全公司求助,解决网站跳转问题。
排查:挖矿程序-植入定时任务
排查:Web程序-JAVA_Struts2漏洞
放到微步在线分析
域名反查IP
一般挖矿脚本会配合启动项、计时任务等权限维持技术
1、写入计时任务
2、写入SSH公钥(私钥连接)
3、删除市场上已知挖矿脚本(恶意竞争了,属于是)
Windows-系统口令爆破导致挖矿事件
某天客户反馈:服务器疑似被入侵,风扇噪声很大,实验室因耗电量太大经常跳闸,服务器疑似被挖矿。
排查:挖矿程序-植入计划任务
排查:登录爆破-服务器口令安全
Linux-个人真实服务器被植入挖矿分析
挖矿程序定位定性,时间分析,排查安全漏洞,攻击IP找到等
1、网站首页被植入暗链
通过网站域名搜索就恶意跳转,ip访问不跳转。高级用法:将跳转语句写入数据库中,前端代码看不到恶链代码
<script type="text/javascript">
var search=document.referrer; //document.referrer 获取了当前页面的来源地址。
if(search.indexOf("baidu")>0||search.indexOf("so")>0||search.indexOf("soso")>0||search.indexOf("google")> 0||search.indexOf("youdao")>0||search.indexOf("sogou")>0) #search.indexOf() //检查当前页面的来源地址是否包含某个搜索引擎的关键字,baidu、so、google
self.location="https://www.XXXXXXXX.com"; //self.location 表示当前窗口的 URL 地址,重定向至 https://www.XXXXXXXX.com
</script>
2、日志文件分析 目录扫描&struts2 RCE
struts 2 RCENday payload
