freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

记一次服务器被种挖矿溯源
2022-01-14 09:26:43
所属地 宁夏

事情的起因是这样的,之前在做对安全狗测试的过程后,忘记将3306端口关闭,而且当时用的数据库密码是root/root,为了测试方便。没想到忘记关闭了,现在还是能够连接到。
图片.png
今天在做一个go的项目时用到服务器突然发现自己的3306端口还是打开的,赶紧上去查看一波,果然已经被人创建用户,并且种了猫池挖矿程序,挖的是门罗币。那就不能忍了,一定要将他溯源出来。

连接到服务器,服务器怎么和平常不一样,很卡,任务管理器打开,哇,cup利用率已经99了,虽然是2核的cup,这样也能挖到币么?严重怀疑。
图片.png
此时挖矿程序正在疯狂的吃cpu内存,先放着,不管他,让他再运行会,定位挖矿程序的位置,给我创建了一个5555的用户,在这个用户下存放着挖矿程序。
图片.png
样本信息:

nssm.exe136efb1a46d1f2d508162387f30dc4d
config.json39d68f379b0033368b7ec4f01c473373
----------------------
miner.batd5c60134b63abbd18e3bfeb3cd748d05
------------------
xmrig.exee6d26c76401c990bc94f4131350cde3e
------------------

那就先找找还有没有其他用户和隐藏的用户,net user后,创建了2个用户。果断上去先改了密码(让你再也用这两个用户连接不进来)
图片.png
在注册表中查找下隐藏的账户HKEY_LOCAL_MACHINE\SAM下,一般是隐藏的,需要右键点击权限,将用户的权限提成完全控制,然后f5刷新就会出来。
图片.png
可以看到注册表中并没有隐藏的用户。
图片.png
对挖矿程序分析简单的分析一下,挖矿的文件是1月12日创建的,config文件是其挖矿配置文件
图片.png
矿池地址是cn.pool.xmrig.us:8198,通过netstat -ano定位矿池的ip:20.205.236.187
图片.png
查看Windows服务,一个是矿池程序的服务,zhudongfangyu这个服务一看就是后门程序,但是没有在文件夹找到。
图片.png
看服务的过程中,突然发现另一个问题,我的apache服务也是对外开放的,再次查看WWW下根目录的文件,又发现一大堆php文件,其中一个写了一句马。
图片.png
查看下apache日志,删的只剩下错误日志了,但是在错误日志中看一圈,欧游,一共这么多ip,挨个查地址,117.78.9.200与120.208.111.146,125.72.106.80是国内ip地址。
图片.png
120.208.111.146ip应该是家庭地址公网ip,125.72.106.80在威胁情报上存在,看样子也是台肉鸡。
图片.png
顺便把火绒的日志信息也导出来,基本上都是上后门和添加用户。
图片.png
将ofwnf.exe程序恢复出来,仍在沙箱中检测,是一个探测系统信息的恶意程序。
图片.png
并且还找到一个文件,同样扔在沙箱中检测
图片.png
可以看到会创建一个zhudongfangyu.exe的服务进程,是一个持久化后门程序。
图片.png
运行起来是360的样子,但是服务器上并没有360。
图片.png
查看事件查看器,从1.10的18:21分,服务器就被入侵了,地址是202.101.61.2,但是这个地址找完整个事件,没有种植挖矿程序。
图片.png
同样这个地址也是一样:218.108.218.21,在12日也是入侵了服务器,没有种植挖矿。

但是在12日10点之后就有意思了,创建了5555用户
图片.png
并且进行了登录,ip地址是120.208.111.146
图片.png
在12日的19点又创建了一个pipi233的用户,不知道是出于什么目的,我表示也很迷。
图片.png
本来写到这里想结束,并做总结,回头又翻了下应用程序日志,发现1月9日就被植入了挖矿程序。
图片.png
再回头看错误日志信息,在9号,117.78.9.200上传过php后门,但是错误日志也不能分析太多的信息。
图片.png
回头又找了下安全日志,1月9日ip:202.101.61.2就已经入侵进服务器了,大概率挖矿程序是这位植入。
图片.png
至此,分析先到这里,由于apache日志被删,只留了错误日志,更准确的信息无法分析出来。我们捋一捋攻击路径。

首先是扫描到80端口以及3306端口开启,mysql使用的弱口令root/root,攻击者通过mysql弱口令,连接到数据库,写入一句马,期间还进行了权限提升操作,将挖矿程序植入。但是在12日,判断是同一攻击者,创建5555用户,将挖矿程序移动到创建的用户目录下。
最后得出攻击ip:202.101.61.2、117.78.9.200、218.108.218.21、120.208.111.146

后记:还好服务器上没有什么文件,只是用来做一些测试的一台服务器,等其他同事溯源完成,重新把服务器恢复一下就行了,弱口令yyds~

# 挖矿 # 溯源分析 # 应急处置
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者