67 lines
1.6 KiB
Markdown
67 lines
1.6 KiB
Markdown
|
# 攻击链分析 - 2026-02-01 真实事件
|
|||
|
|
|
|||
|
|
## 事件概要
|
|||
|
|
|
|||
|
|
| 项 | 值 |
|
|||
|
|
|:---|:---|
|
|||
|
|
| 时间 | 2026-02-01 05:25 GMT+8 |
|
|||
|
|
| 服务器 | VM-8-13-opencloudos (42.194.232.22, 2核4G) |
|
|||
|
|
| 攻击类型 | 加密劫持(Cryptojacking) |
|
|||
|
|
| 恶意软件 | XMRig 门罗币挖矿 |
|
|||
|
|
|
|||
|
|
## 攻击链 6 阶段
|
|||
|
|
|
|||
|
|
```
|
|||
|
|
1.侦察 → 2.暴破 → 3.投放 → 4.持久化 → 5.挖矿 → 6.收益
|
|||
|
|
```
|
|||
|
|
|
|||
|
|
### 1. 侦察
|
|||
|
|
- 扫描公网22端口,识别Linux服务器
|
|||
|
|
|
|||
|
|
### 2. 入侵
|
|||
|
|
- SSH暴力破解,尝试弱密码
|
|||
|
|
- 攻击IP:51.159.36.140(法国)、45.234.152.254(智利)、211.156.84.63/211.156.92.15(中国)
|
|||
|
|
- 211.156.92.15 和 211.156.84.63 成功登录
|
|||
|
|
|
|||
|
|
### 3. 投放
|
|||
|
|
发现的恶意文件:
|
|||
|
|
- `/tmp/.systemdpw/config.json` - XMRig矿池配置(2.4KB)
|
|||
|
|
- `/home/www/.config/sys-update-daemon` - XMRig程序(6.3MB ELF)
|
|||
|
|
- `/home/www/c3pool/` - 备用矿套件(config.json, miner.sh, xmrig.log)
|
|||
|
|
- `/tmp/systemwatcher*.log` - 运行日志
|
|||
|
|
|
|||
|
|
### 4. 持久化
|
|||
|
|
- www用户crontab: `@reboot /home/www/.config/sys-update-daemon -name word.lytiao.com`
|
|||
|
|
|
|||
|
|
### 5. 挖矿
|
|||
|
|
- 矿池: pool.hashvault.pro:443 (TLS)
|
|||
|
|
- 钱包: 48crqLYqiDdQ...CQb
|
|||
|
|
- 矿机标识: VM-8-13-opencloudos
|
|||
|
|
- CPU使用: 100%
|
|||
|
|
|
|||
|
|
### 6. 收益
|
|||
|
|
- XMR → 攻击者钱包 → 交易所变现
|
|||
|
|
|
|||
|
|
## 处置记录
|
|||
|
|
|
|||
|
|
| 操作 | 状态 |
|
|||
|
|
|:---|:---|
|
|||
|
|
| 删除 /tmp/.systemdpw/ | ✅ |
|
|||
|
|
| 删除 sys-update-daemon | ✅ |
|
|||
|
|
| 删除 c3pool 目录 | ✅ |
|
|||
|
|
| 清除 www crontab | ✅ |
|
|||
|
|
| 封禁4个攻击IP | ✅ |
|
|||
|
|
|
|||
|
|
## 根因
|
|||
|
|
|
|||
|
|
1. 弱密码 (姓名+年份)
|
|||
|
|
2. 无fail2ban
|
|||
|
|
3. 允许root密码登录
|
|||
|
|
|
|||
|
|
## 改进
|
|||
|
|
|
|||
|
|
1. 修改密码为强密码
|
|||
|
|
2. 安装fail2ban
|
|||
|
|
3. 禁用密码登录,用SSH密钥
|
|||
|
|
4. 定期扫描 (`threat_scanner.sh`)
|