记一次双平台Sysrv-hello挖矿团伙非法攻击溯源反制过程
💡
原文中文,约2000字,阅读约需5分钟。
📝
内容提要
某客户发现攻击者利用CVE-2017-5638漏洞进行攻击,经过分析确认攻击失败。攻击源IP来自印度,反制后发现其搭建了Jboss服务并存在反序列化漏洞,成功获取服务器root权限。进一步调查发现与挖矿相关的恶意文件和进程,确认该主机被挖矿团伙控制,严重影响正常业务。
🎯
关键要点
- 某客户发现攻击者利用CVE-2017-5638漏洞进行攻击,攻击结果失败。
- 攻击源IP来自印度安得拉,反制后发现其搭建了Jboss服务并存在反序列化漏洞。
- 成功利用Jboss反序列化漏洞反弹shell,获得服务器root权限。
- 调查发现与挖矿相关的恶意文件和进程,确认主机被挖矿团伙控制。
- 受控主机的CPU资源几乎完全被挖矿进程占据,严重影响正常业务运转。
- 查询到多个恶意IP和文件,确认其为挖矿相关的恶意程序。
- 提供了木马和挖矿程序的MD5值以供后续检测和防范。
❓
延伸问答
攻击者是如何利用CVE-2017-5638漏洞进行攻击的?
攻击者利用CVE-2017-5638漏洞发起远程命令执行攻击,但攻击结果失败。
反制过程中发现了哪些关键漏洞?
反制过程中发现了Jboss服务的反序列化漏洞,成功获得了服务器的root权限。
受控主机的CPU资源为何受到严重影响?
受控主机的CPU资源几乎完全被挖矿进程占据,导致正常业务运转受到严重影响。
调查中发现了哪些与挖矿相关的恶意文件?
调查发现了与挖矿相关的恶意文件b.pl和进程sys.x86_64,以及挖矿程序kthreaddi。
如何确认受控主机被挖矿团伙控制?
通过查询历史操作记录和监测到的挖矿进程,确认受控主机被挖矿团伙控制。
提供的木马和挖矿程序的MD5值是什么?
木马和挖矿程序的MD5值分别为:ldr.sh - 0fdff38895238f2259db6d186aee5a7e,sys.x86_64 - 64F7F910849BC479EC72A5E2167C8D78。
🏷️
标签
➡️
