实战|应急响应之门罗币挖矿木马

文章预览

作者：苏苏的五彩棒 文章来源: https://forum.butian.net/share/869 如侵权请联系删除，谢谢！ 今年以来，随着比特币等一众加密货币价格暴涨，让许多不法分子，黑产人员开始使用木马文件感染服务器，进行挖矿，而且越发猖獗。 前言 前几日到客户现场进行应急响应，发现是一起 门罗币 挖矿木马感染客户服务器并攻击客户其它服务器的案例。该木马会在执行挖矿进程的同时，通过C2配置文件，到指定站点下载具有远控功能的样本，进一步控制主机服务器，并通过脚本木马攻击其它服务器，传染木马。 过程描述 1、 根据客户安全平台告警分析，发现客户一台服务器在对 客户系统 进行phpunit RCE漏洞利用攻击。 2、通过进一步的信息搜集发现失陷服务器开放了8090端口，发现8090端口有 Confluence 服务，应该是被利用了Confluence的RCE漏洞，控制了服务器权限。 3、 ………………………………