# 攻击链分析 - 2026-02-01 真实事件

## 事件概要

| 项 | 值 |
|:---|:---|
| 时间 | 2026-02-01 05:25 GMT+8 |
| 服务器 | VM-8-13-opencloudos (42.194.232.22, 2核4G) |
| 攻击类型 | 加密劫持(Cryptojacking) |
| 恶意软件 | XMRig 门罗币挖矿 |

## 攻击链 6 阶段

```
1.侦察 → 2.暴破 → 3.投放 → 4.持久化 → 5.挖矿 → 6.收益
```

### 1. 侦察
- 扫描公网22端口，识别Linux服务器

### 2. 入侵
- SSH暴力破解，尝试弱密码
- 攻击IP：51.159.36.140(法国)、45.234.152.254(智利)、211.156.84.63/211.156.92.15(中国)
- 211.156.92.15 和 211.156.84.63 成功登录

### 3. 投放
发现的恶意文件：
- `/tmp/.systemdpw/config.json` - XMRig矿池配置(2.4KB)
- `/home/www/.config/sys-update-daemon` - XMRig程序(6.3MB ELF)
- `/home/www/c3pool/` - 备用矿套件(config.json, miner.sh, xmrig.log)
- `/tmp/systemwatcher*.log` - 运行日志

### 4. 持久化
- www用户crontab: `@reboot /home/www/.config/sys-update-daemon -name word.lytiao.com`

### 5. 挖矿
- 矿池: pool.hashvault.pro:443 (TLS)
- 钱包: 48crqLYqiDdQ...CQb
- 矿机标识: VM-8-13-opencloudos
- CPU使用: 100%

### 6. 收益
- XMR → 攻击者钱包 → 交易所变现

## 处置记录

| 操作 | 状态 |
|:---|:---|
| 删除 /tmp/.systemdpw/ | ✅ |
| 删除 sys-update-daemon | ✅ |
| 删除 c3pool 目录 | ✅ |
| 清除 www crontab | ✅ |
| 封禁4个攻击IP | ✅ |

## 根因

1. 弱密码 (姓名+年份)
2. 无fail2ban
3. 允许root密码登录

## 改进

1. 修改密码为强密码
2. 安装fail2ban
3. 禁用密码登录，用SSH密钥
4. 定期扫描 (`threat_scanner.sh`)