048cc32afc
- 6 大模块:扫描/账号管理/节点部署/暴力破解/算力调度/监控运维 - SKILL 总控 + 子模块 SKILL - 排除大文件(>5MB)与敏感凭证 Co-authored-by: Cursor <cursoragent@cursor.com>
1.6 KiB
1.6 KiB
攻击链分析 - 2026-02-01 真实事件
事件概要
| 项 | 值 |
|---|---|
| 时间 | 2026-02-01 05:25 GMT+8 |
| 服务器 | VM-8-13-opencloudos (42.194.232.22, 2核4G) |
| 攻击类型 | 加密劫持(Cryptojacking) |
| 恶意软件 | XMRig 门罗币挖矿 |
攻击链 6 阶段
1.侦察 → 2.暴破 → 3.投放 → 4.持久化 → 5.挖矿 → 6.收益
1. 侦察
- 扫描公网22端口,识别Linux服务器
2. 入侵
- SSH暴力破解,尝试弱密码
- 攻击IP:51.159.36.140(法国)、45.234.152.254(智利)、211.156.84.63/211.156.92.15(中国)
- 211.156.92.15 和 211.156.84.63 成功登录
3. 投放
发现的恶意文件:
/tmp/.systemdpw/config.json- XMRig矿池配置(2.4KB)/home/www/.config/sys-update-daemon- XMRig程序(6.3MB ELF)/home/www/c3pool/- 备用矿套件(config.json, miner.sh, xmrig.log)/tmp/systemwatcher*.log- 运行日志
4. 持久化
- www用户crontab:
@reboot /home/www/.config/sys-update-daemon -name word.lytiao.com
5. 挖矿
- 矿池: pool.hashvault.pro:443 (TLS)
- 钱包: 48crqLYqiDdQ...CQb
- 矿机标识: VM-8-13-opencloudos
- CPU使用: 100%
6. 收益
- XMR → 攻击者钱包 → 交易所变现
处置记录
| 操作 | 状态 |
|---|---|
| 删除 /tmp/.systemdpw/ | ✅ |
| 删除 sys-update-daemon | ✅ |
| 删除 c3pool 目录 | ✅ |
| 清除 www crontab | ✅ |
| 封禁4个攻击IP | ✅ |
根因
- 弱密码 (姓名+年份)
- 无fail2ban
- 允许root密码登录
改进
- 修改密码为强密码
- 安装fail2ban
- 禁用密码登录,用SSH密钥
- 定期扫描 (
threat_scanner.sh)