第164天：应急响应-挖矿脚本检测指南_威胁情报_样本定性_文件清除_入口修复

目录

案例一：挖矿样本-Win&Linux-危害&定性

案例二：Linux-Web安全漏洞导致挖矿事件

案例三： Windows-系统口令爆破导致挖矿事件

---

案例一：挖矿样本-Win&Linux-危害&定性

windows样本

非常明显的特征就是cpu的占有率非常的高，gpu的占有率也比较高

查看挖矿脚本的配置文件

里面会有对方的url地址，以及钱包地址

把url放入到微步在线中去扫描，可以发现显示矿池

netstat查看网络连接

文件检测

linux样本

cpu在执行完挖矿程序后直接爆满

 查看网络连接

分析这个ip

kill -9 可以直接删除掉

案例二：Linux-Web安全漏洞导致挖矿事件

背景

某公司运维人员小李近期发现，通过搜索引擎访问该公司网站会自动跳转到恶意网站（博彩网站），但是直接输入域名访问该公司网站，则不会出现跳转问题，而且服务器 CPU 的使用率异常高，运维人员认为该公司服务器可能被黑客入侵了，现小李向 XX 安全公司求助，解决网站跳转问题。

 进来以后查看进程，这里可能是环境的原因，正常这里应该有个进程满了

查看计时任务   update.sh就是后门文件

确定如何入侵，搭建了8080-tomcat网站

去查看网站目录

 这段代码的意思就是，如果你是从百度等网站跳转过来的那么，把你跳转到别的网站，如果你从域名搜索过来那将不会发生

<script type="text/javascript">
        var search=document.referrer; 
		if(search.indexOf("baidu")>0||search.indexOf("so")>0||search.indexOf("soso")>0||search.indexOf("google")> 0||search.indexOf("youdao")>0||search.indexOf("sogou")>0) 
			self.location="https://www.XXXXXXXX.com"; 
		</script>

该站点存在一个struts2搭建的网站，有漏洞就自己先利用一下，然后根据漏洞确认日志中一样日志别人的ip

直接可以利用攻击进行命令执行

 这是我自己打的日志

翻到之前的日志，确定了ip

然后去寻找他上传的木马

利用河马查杀直接去扫描tomcat整个目录

https://dl.shellpub.com/hm/latest/hm-linux-amd64.tgz?version=1.8.3

结果

查看这个文件

去日志当中查看谁访问过这个webshell

第一次访问

之前他用post访问过漏洞网站，可能是上传文件

webshell上传之后会去上传攻击样本，去看看时间是否对应

查看update.sh的内容

发现他会下载sysupdate，寻找这个文件

上传文件定性

update下面还有IP地址放到检测平台检测

微步在线检测为正常

奇安信检测为

文件里面还有ssh软连接

这篇文章介绍过

第144天：内网安全-Linux权限维持&OpenSSH&PAM后门&SSH软链接&公私钥登录-CSDN博客

案例三： Windows-系统口令爆破导致挖矿事件

 参考文章：一次真实的应急响应案例(Windows2008)——暴力破解、留隐藏账户后门与shift粘贴键后门、植入WaKuang程序——事件复现（含靶场环境）_应急响应靶场-CSDN博客

背景

某天客户反馈：服务器疑似被入侵，风扇噪声很大，实验室因耗电量太大经常跳闸，服务

器疑似被挖矿。

 进入服务器中，里面有java程序在运行，并且还附有ip地址

扫描url

发现是矿池因为挖矿程序非常占cpu或者内存，所以先去清除掉

右键属性会看到文件的地址

去到文件目录下

把exe文件上传分析，为恶意文件

结束进程

然后需要去排查是否还留有自启动或者计划任务，防止再次启动

计划任务

这里我直接利用火绒剑去排查，删除掉计划任务，同时删除木马目录(但是不太理解为什么需要删除掉进程还显示在运行，重启才删除掉了)

但是这里有个弊端就是不显示计划任务创建的时间，所以还是建议去windows自带的计划任务管理器中确认时间，以便于后期溯源，时间为2022/3/23 9:46:17

进程无异常标红

登录执行和开机自启动正常

去查看服务是否异常

映像劫持中发现异常

这是按五下粘滞键会执行cmd命令

在不登陆的情况能够有可能执行cmd命令窗口，但是环境好像有要求，这是截取了别人的图

这个在火绒剑中删除不掉

去注册表中

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

找sethc.exe右键输出，删的太快忘记截图

pchunter中发现隐藏账户

查看网络连接-正常，本来是netstat -an就可查看不知道为啥会有这么多端口开放，把tcp顶到看不见了

 完成掉以上布置只是清除了后门还没有定位ip

已知计划任务创建的时间为: 2022/3/23 9:46:17

 

去看时间在 23号九点46之前的

其中在3月21日发现在同一时刻有大量登录失败的数据包，猜测有人爆破

里面均未显示IP

在3月21日16:27:12首次成功登录并且显示了目标ip 192.168.226.1

 在3月21日16:28:12创建了隐藏账户

16:28:12设置未管理员账户

16:28:12 添加到管理员组