记一次火车上的（伪）应急响应

xyzmpv

已于 2022-03-05 17:43:09 修改

阅读量4.8k

点赞数 1

分类专栏：笔记文章标签：安全服务器运维

于 2022-03-05 17:41:51 首次发布

本文链接：https://blog.csdn.net/weixin_45209963/article/details/123298214

版权

笔记专栏收录该内容

14 篇文章 0 订阅

订阅专栏

记一次火车上的（伪）应急响应

昨天（3.4），正当我愉快的踏上返校的火车的时候，电话响了。

某朋友的程序好好的跑在服务器上，半小时后就莫名其妙的当了。该朋友用nvidia-smi查看了一下显卡占用——很不幸的，中挖矿病毒了。（这里的图是朋友截的，注意三个100%的volatile，很明显挖矿病毒靠改名为python试图糊弄过去）

我的第一反应是还好不是勒索病毒，否则所有代码都得跟着玩完。第二反应是谁这么大胆子，在内网种挖矿病毒（服务器在内网，不对公）。

先问朋友要ssh账号（火车上电脑不方便，只能用手机上的termux远程连接救急），然后被告知root账号原来是个弱密码，被攻陷后改了，只有普通用户。好吧，正好最近出了一些提权洞，让他上传了POC文件去提权，成功拿下。（所以不要搞弱密码，尤其是root）

与此同时我先拿着用户账号看了一下进程和端口（手机看起来实在是太麻烦了2333）。端口没看出来啥，进程这边筛选了一下属于root用户的，然后就发现最新的进程有点问题。
在这里插入图片描述
联系到前面发现挖矿病毒名为python，基本可以确定这个是挖矿进程。
尝试读取它的proc信息，结果发现没有权限（人家拿root权限种的嘛），所以我也滚去提权了。
拿到root之后看了一下它的proc文件夹里面的exe链接（指向进程执行的文件）
$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rZgSatgc-1646472884334)(file:///C:\Users\xyzmpv\Documents\Tencent Files\3302745736\Image\C2C\D97442C494BC9D558A32A6F328A2AA06.jpg)]$
这个.x基本上石锤了挖矿软件的隐藏方法了。之后我 ls -l 了 /root/.cache 果然没有这个目录
手忙脚乱dump了整个 /root/.cache/.x/ 文件夹，里面大概有以下几个文件

│  config.ini  //nanominer配置文件
│  doos.pid  //pid，运行时生成的
│  null    //启动脚本，实际就是静默运行Python.cfg脚本
│  python  //伪装成python的挖矿病毒
│  Python.cfg //将定时重启脚本写入crontab做持久化
│  run   //启动python挖矿病毒并使用top进行隐藏
│  top   //2002年的古老的XHide软件，用于进程隐藏
└─logs   // nanominer的运行log，通过log字符画定位到的挖矿软件
        log_2022-03-04_09-33-28.log
        log_2022-03-04_09-33-42.log
        log_2022-03-04_09-34-01.log

特别提一下python这个挖矿病毒主体。该病毒动态编译并去表，居然没有加壳与混淆。通过反搜字符串可以发现采用了大量Go的开源项目，怀疑是采用Go编写的。回头可以装个Golanghelper逆一下。

在log里面可以找到挖矿的pool ip和wallet地址（pool ip是一个内网vpn地址）。挖的是ETH。

同时还分析了一下history

  155  tar xzvf exo.tgz
  156  ls
  157  tar xzvf exo.tgz;./exo -lan 172.xx.xx.xx:2048 ; rm -rf exo* #怀疑是在上内存马
  158  exit
  159  passwd
  160  exit
  161  /bin/bash
  162  exit
  163  mv x.tgz /root/.cache
  164  rm -rf *
  165  cd
  166  ls
  167  cat .bash_history
  168  cd .cache
  169  ls
  170  nvidia-smi
  171  tar xzvf .xtgz #这两步应该是在造隐藏目录
  172  tar xzvf x.tgz
  173  ls
  174  rm -rf x.tgz
  175  cd .x
  176  ls
  177  nano config.ini
  178  ls
  179  ./python
  180  rm -rf python;mv to python;chmod 777 python
  181  ./python
  182  ./run
  183  exit

总结

怀疑是某倒霉蛋在开着vpn时被攻陷了，然后被横向了。也有可能是哪位想做大黑阔？

很明显是新手行为。拿20年前的东西伪装进程，攻破系统靠弱密码，history记录不晓得删，远控没有加壳混淆…不一一列举了。

在此奉劝一下某些个人，不要发了昏，乱打打到别人头上。vpn ip和内网远控ip都被反查出来了，攻击时间段也确定，大家猜猜能不能查到使用vpn的人。

如果是某人不知情的情况下中了毒变跳板机了，我在此深表同情。同时也给一点简单的建议：

不要弱密码！！！

不要随便运行东西！！！

xyzmpv

关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
1
评论
记一次火车上的（伪）应急响应

记一次火车上的（伪）应急响应昨天（3.4），正当我愉快的踏上返校的火车的时候，电话响了。某朋友的程序好好的跑在服务器上，半小时后就莫名其妙的当了。该朋友用nvidia-smi查看了一下显卡占用——很不幸的，中挖矿病毒了。（这里的图是朋友截的，注意三个100%的volatile，很明显挖矿病毒靠改名为python试图糊弄过去）我的第一反应是还好不是勒索病毒，否则所有代码都得跟着玩完。第二反应是谁这么大胆子，在内网种挖矿病毒（服务器在内网，不对公）。先问朋友要ssh账号（火车上电脑不方便，只
复制链接

扫一扫

专栏目录