从反渗透到病毒分析

释放双眼,带上耳机,听听看~!

在某某期间,发现一个IP正在对蜜罐进行大量扫描,引起了注意,出于警觉,将该IP拿到nmap进行扫描

nmap -sS -p 1-65535 -v 攻击者IP

各参数意义:
-sS    TCP SYN扫描    
-P     指定端口扫描  
-V     详细信息 

看到服务器开放了80端口(网站应用)及3306端口(mysql数据库),看起来应该是个已经被攻击者作为肉鸡的服务器:

http://攻击者IP/wp-admin/

进一步分析网站为wordpress,简单密码爆破后无果。

在网站的注册处注册了一个账号并登陆上去并找到了一处上传点

菜刀连接之后查看当前用户权限是apache,需要提权

查看内核版本是3.10.0

可以使用cve-2016-0728进行提权,因为特殊原因,不进行该步骤:

exp:https://github.com/SecWiki/linux-kernel-exploits/blob/master/2016/CVE-2016-0728/

查看了一下整个服务器,发现攻击者在用它进行挖矿,查看了挖矿配置文件和定时任务下的脚本,对其进行了分析。

1.下载挖矿程序、备份地址以及自动扫描入侵其他主机一系列操作。

2.进行关闭防火墙、关闭selinux等操作

3.检查并杀死其他存在的挖矿进程(kill_miner_proc函数)

该样本值得研究,杀死的进程可作为应急工程师判断服务器是否中招挖矿病毒的依据。

4.赋予最高权限并进行隐藏

5.清理相关历史记录

6.查看config.json,矿池信息

该挖矿木马修复方案:

1、crontab -r删除定时任务或 rm -rf /etc/cron.d/*

2、Kill掉病毒相关文件

3、锁定 crontab相关文件

4、重启之后再检查


又是一次无聊的反渗透,原本以为有什么,结果啥都没有。。。

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

_________________________________________________________

本文章来自团队成员圈圈迷弟投稿,仅供白帽子、安全爱好者研究学习,对于用于非法途径的行为,发布者及作者不承担任何责任。

我们建立了一个以知识共享为主的 免费 知识星球,旨在通过相互交流,促进资源分享和信息安全建设,为以此为生的工作者、即将步入此行业的学生等提供各自之力。为保持知识星球长久发展,所有成员需遵守本星球免费规则,鼓励打赏;同时保持每月分享至少一次资源(安全类型资源不限,但不能存在一切违法违规及损害他人利益行为),避免“伸手党”,即使新人我们也鼓励通过分享心得和笔记取得进步,“僵尸粉”将每月定期清理。

想加入我们的微信群,目前聚集了来自全球信息安全公司的CEO,安全部门主管,技术总监,信安创业者,网络安全专家,安全实验室负责人,公司HR,在这里你将获得高质量的技术交流空间,更多的内推高薪信息安全岗位,更多与安全大咖们面对面交流的机会。可以扫码添加我的微信,需提供真实有效的公司名称+姓名,验证通过后可加入···



人已赞赏
安全工具

黑客、程序员、安全工程师的年终总结

2019-10-11 17:04:42

安全工具

从0day到未授权访问到文件包含到内网漫游

2019-10-11 17:04:48

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索