应急响应之门罗币挖矿木马

文章预览

扫码领资料 获网安教程 文章来源: https: //forum.butian.net/share/869 今年以来，随着比特币等一众加密货币价格暴涨，让许多不法分子，黑产人员开始使用木马文件感染服务器，进行挖矿，而且越发猖獗。 前言 前几日到客户现场进行应急响应，发现是一起门罗币挖矿木马感染客户服务器并攻击客户其它服务器的案例。该木马会在执行挖矿进程的同时，通过C2配置文件，到指定站点下载具有远控功能的样本，进一步控制主机服务器，并通过脚本木马攻击其它服务器，传染木马。 过程描述 1、 根据客户安全平台告警分析，发现客户一台服务器在对客户系统进行phpunit RCE漏洞利用攻击。 2、通过进一步的信息搜集发现失陷服务器开放了8090端口，发现8090端口有Confluence服务，应该是被利用了Confluence的RCE漏洞，控制了服务器权限。 3、进入服务器，查询命令历史 ………………………………