鑽石舞台

事情的起因是這樣的，之前在做對安全狗測試的過程後，忘記將3306端口關閉，而且當時用的數據庫密碼是root/root，為了測試方便。沒想到忘記關閉了，現在還是能夠連接到。今天在做一個go的項目時用到服務器突然發現自己的3306端口還是打開的，趕緊上去查看一波，果然已經被人創建用戶，並且種了貓池挖礦程序，挖的是門羅幣。那就不能忍了，一定要將他溯源出來。

連接到服務器，服務器怎麼和平常不一樣，很卡，任務管理器打開，哇，cup利用率已經99了，雖然是2核的cup，這樣也能挖到幣麼？嚴重懷疑。此時挖礦程序正在瘋狂的吃cpu內存，先放着，不管他，讓他再運行會，定位挖礦程序的位置，給我創建了一個5555的用戶，在這個用戶下存放着挖礦程序。樣本信息：

nssm.exe136efb1a46d1f2d508162387f30dc4dconfig.json39d68f379b0033368b7ec4f01c473373----------------------miner.batd5c60134b63abbd18e3bfeb3cd748d05------------------xmrig.exee6d26c76401c990bc94f4131350cde3e------------------

那就先找找還有沒有其他用戶和隱藏的用戶，net user後，創建了2個用戶。果斷上去先改了密碼（讓你再也用這兩個用戶連接不進來）在註冊表中查找下隱藏的賬戶HKEY_LOCAL_MACHINE\SAM下，一般是隱藏的，需要右鍵點擊權限，將用戶的權限提成完全控制，然後f5刷新就會出來。可以看到註冊表中並沒有隱藏的用戶。對挖礦程序分析簡單的分析一下，挖礦的文件是1月12日創建的，config文件是其挖礦配置文件礦池地址是cn.pool.xmrig.us:8198，通過netstat -ano定位礦池的ip:20.205.236.187查看Windows服務，一個是礦池程序的服務，zhudongfangyu這個服務一看就是後門程序，但是沒有在文件夾找到。看服務的過程中，突然發現另一個問題，我的apache服務也是對外開放的，再次查看WWW下根目錄的文件，又發現一大堆php文件，其中一個寫了一句馬。查看下apache日誌，刪的只剩下錯誤日誌了，但是在錯誤日誌中看一圈，歐遊，一共這麼多ip，挨個查地址，117.78.9.200與120.208.111.146,125.72.106.80是國內ip地址。120.208.111.146ip應該是家庭地址公網ip，125.72.106.80在威脅情報上存在，看樣子也是台肉雞。順便把火絨的日誌信息也導出來，基本上都是上後門和添加用戶。將ofwnf.exe程序恢復出來，仍在沙箱中檢測，是一個探測系統信息的惡意程序。並且還找到一個文件，同樣扔在沙箱中檢測可以看到會創建一個zhudongfangyu.exe的服務進程，是一個持久化後門程序。運行起來是360的樣子，但是服務器上並沒有360。查看事件查看器，從1.10的18:21分，服務器就被入侵了，地址是202.101.61.2，但是這個地址找完整個事件，沒有種植挖礦程序。同樣這個地址也是一樣：218.108.218.21，在12日也是入侵了服務器，沒有種植挖礦。

但是在12日10點之後就有意思了，創建了5555用戶並且進行了登錄，ip地址是120.208.111.146在12日的19點又創建了一個pipi233的用戶，不知道是出於什麼目的，我表示也很迷。本來寫到這裡想結束，並做總結，回頭又翻了下應用程序日誌，發現1月9日就被植入了挖礦程序。再回頭看錯誤日誌信息，在9號，117.78.9.200上傳過php後門，但是錯誤日誌也不能分析太多的信息。回頭又找了下安全日誌，1月9日ip:202.101.61.2就已經入侵進服務器了,大概率挖礦程序是這位植入。至此，分析先到這裡，由於apache日誌被刪，只留了錯誤日誌，更準確的信息無法分析出來。我們捋一捋攻擊路徑。

首先是掃描到80端口以及3306端口開啟，mysql使用的弱口令root/root，攻擊者通過mysql弱口令，連接到數據庫，寫入一句馬，期間還進行了權限提升操作，將挖礦程序植入。但是在12日，判斷是同一攻擊者，創建5555用戶，將挖礦程序移動到創建的用戶目錄下。最後得出攻擊ip:202.101.61.2、117.78.9.200、218.108.218.21、120.208.111.146

後記：還好服務器上沒有什麼文件，只是用來做一些測試的一台服務器，等其他同事溯源完成，重新把服務器恢復一下就行了，弱口令yyds~