048cc32afc
- 6 大模块:扫描/账号管理/节点部署/暴力破解/算力调度/监控运维 - SKILL 总控 + 子模块 SKILL - 排除大文件(>5MB)与敏感凭证 Co-authored-by: Cursor <cursoragent@cursor.com>
67 lines
1.6 KiB
Markdown
67 lines
1.6 KiB
Markdown
# 攻击链分析 - 2026-02-01 真实事件
|
||
|
||
## 事件概要
|
||
|
||
| 项 | 值 |
|
||
|:---|:---|
|
||
| 时间 | 2026-02-01 05:25 GMT+8 |
|
||
| 服务器 | VM-8-13-opencloudos (42.194.232.22, 2核4G) |
|
||
| 攻击类型 | 加密劫持(Cryptojacking) |
|
||
| 恶意软件 | XMRig 门罗币挖矿 |
|
||
|
||
## 攻击链 6 阶段
|
||
|
||
```
|
||
1.侦察 → 2.暴破 → 3.投放 → 4.持久化 → 5.挖矿 → 6.收益
|
||
```
|
||
|
||
### 1. 侦察
|
||
- 扫描公网22端口,识别Linux服务器
|
||
|
||
### 2. 入侵
|
||
- SSH暴力破解,尝试弱密码
|
||
- 攻击IP:51.159.36.140(法国)、45.234.152.254(智利)、211.156.84.63/211.156.92.15(中国)
|
||
- 211.156.92.15 和 211.156.84.63 成功登录
|
||
|
||
### 3. 投放
|
||
发现的恶意文件:
|
||
- `/tmp/.systemdpw/config.json` - XMRig矿池配置(2.4KB)
|
||
- `/home/www/.config/sys-update-daemon` - XMRig程序(6.3MB ELF)
|
||
- `/home/www/c3pool/` - 备用矿套件(config.json, miner.sh, xmrig.log)
|
||
- `/tmp/systemwatcher*.log` - 运行日志
|
||
|
||
### 4. 持久化
|
||
- www用户crontab: `@reboot /home/www/.config/sys-update-daemon -name word.lytiao.com`
|
||
|
||
### 5. 挖矿
|
||
- 矿池: pool.hashvault.pro:443 (TLS)
|
||
- 钱包: 48crqLYqiDdQ...CQb
|
||
- 矿机标识: VM-8-13-opencloudos
|
||
- CPU使用: 100%
|
||
|
||
### 6. 收益
|
||
- XMR → 攻击者钱包 → 交易所变现
|
||
|
||
## 处置记录
|
||
|
||
| 操作 | 状态 |
|
||
|:---|:---|
|
||
| 删除 /tmp/.systemdpw/ | ✅ |
|
||
| 删除 sys-update-daemon | ✅ |
|
||
| 删除 c3pool 目录 | ✅ |
|
||
| 清除 www crontab | ✅ |
|
||
| 封禁4个攻击IP | ✅ |
|
||
|
||
## 根因
|
||
|
||
1. 弱密码 (姓名+年份)
|
||
2. 无fail2ban
|
||
3. 允许root密码登录
|
||
|
||
## 改进
|
||
|
||
1. 修改密码为强密码
|
||
2. 安装fail2ban
|
||
3. 禁用密码登录,用SSH密钥
|
||
4. 定期扫描 (`threat_scanner.sh`)
|