0x01:接近下班时间,客户说系统突然出现了问题,是个linux服务器,而该服务器权限是root,于是赶紧连上服务器进行排查
0x02:
0x021:通过ps -ef查看系统进程,发现有个md文件的异常进程,定位到这个进程有问题
0x022;们cat /etc/passwd,查看系统用户,发现黑客入侵添加了两个账号
0X023:我们history一下,查看操作命令的记录,这台服务器的话基本没人管理,所以我们还可能从里面寻找到黑客的细枝末节
0x024:使用cd /var/log,查看日志文件,所有服务登录的文件以及一些错误的信息文件都在这个地方,我们查看一下message的文件ls -lart messages*,读取其中一个文件more messages-20180415,发现可疑信息,我们继续使用 more messages-20180422 | grep nicehash,查询到nicehash这个跟挖矿有关的,初次定位是个挖矿木马
0x025:使用netstat -ano,查看所有端口,发现这个内网ip地址开放了一个外网的服务,80端口,刚好之前那个外网ip,我们查到能够通过弱口令+文件上传拿到shell,初次定位黑客可能是通过这个外网服务进入到内网的
0x026:使用find / -name md,查看所有可疑的文件
使用cd /var/lib/misc/conf/,然后ls -l ,进入到这个可能植入木马的目录,果然发现两个可疑文件
从这个可以看出,这个md文件是18年1月份上传的,我们通过Winscap工具下载到本地分析,是个elf文件(二进制的),采取readelf或者IDA打开,这里就先放着,逆向不会,搁着给同事吧
0x027:我们使用https://www.virustotal.com/#/home/upload这个网站检测一下是否是挖矿木马或者病毒
事实证明是这个文件的问题
0x028:
目前为止,我们知道黑客是植入了木马进行挖矿,第一种可能是通过外网的弱口令+文件上传拿到shell,拿到了root权限
第二种可能是黑客通过其他的外网平台漏洞,然后进入内网,通过ssh批量**进入的,而且这个服务器确实是弱口令(强调一下,一般内网服务器都是弱口令,所以很容易批量拿下.....)
参考连接:
NiceHash:https://www.nicehash.com/
http://blog.chinaunix.net/uid-26569496-id-3199434.html
https://www.virustotal.com/#/home/upload
https://github.com/xmrig