avatar

记一次超级顺利的溯源

记一次超级顺利的溯源

背景

菜鸡的我正在学CS的时候,发现 teamserver 连不上,发现进程应为内存占用被切断了,设置更大的交换区也不行,就看了下那些程序在占用内存,学生机理应说也跑不了啥大程序啊,top 一看,好家伙

1-1

这名字都直接怼连上了,明显在挖矿,不过学生机的算力也挖不了多少,索性让他开着,不要打草惊蛇

ps aux | grep 13549

去瞅瞅进程

1-2

发现启动参数有 xmr.haxibao.cn ,看一下,直接挖矿实锤,因为服务器上没啥东西,先开始朔源

溯源

直接简单粗暴

updatedb
locate behash

找到文件夹

2-1

难道是我docker出了问题,这个后面在分析,先进文件夹看看

文件应该是 hackable 里面,树形结构如下

.
├── flags
│   └── fi.php
└── uploads
├── 1.php
├── 3.jpg
├── b55a3e3bf64a749d9cf641e7c6f7b19d.jpg
├── behash
│   └── behashwork
│   ├── behash
│   └── SHA256SUMS
├── eval.php
├── glibc-2.28
├── 文件太多省略,有很多.c文件
├── hack.jpg
├── hack.php
├── oneword2.php
├── open.sh
├── shell.php
├── testbak.php
├── test.jpg
├── work.sh
├── xmrig
└── xmrig.exe

686 directories, 16900 files

找到 bahash

基本信息

2-0

云沙箱看一波

VirusTotal-报告

2-1

评论区里面有个链接,威胁快讯:z0Miner 正在利用 ElasticSearch 和 Jenkins 漏洞大肆传播,这个对后面攻击分析很有用

微步云沙箱

2-1

搜索 xmrig ,发现一个github链接,攻击者应该是利用这个来挖矿的,是文件夹里面的.c文件,那么文件特征也就没什么意思

审文件

继续看upload文件夹

work.sh

2-5

大概是从远程下载压缩包,解压,执行 behash,同时登陆 haxibao.cn,获得rig-id参数

open.sh

2-6

好家伙,后台执行work.sh,后面还没删除,进入 haxibao.cn 登录

相关账号

haxibao.cn

2-7

尝试登录邮箱

2-8

查阅邮件得到github

2-9

发现一个私人仓库

2-10

里面二次元含量极高,

2-11

而且还有…不过结合后面的分析应该不是本人

card

card_reverse

顺带找到qq

2-13

顺着邮箱可以找到Steam账号

2-12

接着就是微软账号(one_drive)

2-14

然后找到

2-15

好家伙

Microsoft账户

2-16

  • 之后在OneDrive翻到几张截图,来自于某qq账号的文件,开始推测嫌疑人小号

    qq-1

有的消息和OneDrive内容对上

qq-2

qq-3

微博

这个其实可以tg sgk直接确认,但是因为特殊原因,就不多说了

2-17

微博小号

2-20

小号来看是个lsp了

2-21

B站

2-18

最近登录ip,确定身份证是假的,微博、qq是真的

2-19

总结下来有的信息

shabi

现在基本上就可以把挖矿木马停掉了

为了防止修改一些核心证据,我将有些账号的邮箱给修改了

日志分析

  • 1.关于文件夹

    /var/lib/docker/overlay2/62b3aac0939d95179189fef7c1ddc7f1fdeca94dae84b64f3c8ec6876666b057/diff/var/www/html/hackable

    3-1

    是2020.12.1 15:10创建的

    hackable

    3-2

    是2020.2.15 23:24创建的

    想起来这个文件是DVWA的docker的,这时候DVWA已经停止服务了

    那就是把docker给打了,然后建了一个upload文件夹

  • 2.合理猜测

    后面他又来了一次,我们在之前的文件夹里面找到了新的webshell,然后把文件下载下来用冰蝎直接连上了,

    查找相关

    17ZYPC1UT_U2%EINODO4HL

提权手法和之前那个一样,最后确定是在dvwa上传的马,没有docker逃逸

Author: Joe1sn
Link: http://blog.joe1sn.top/2021/FuckMiner/
Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.
Donate
  • 微信
    微信