web应用漏洞利用 系统漏洞利用
一个似曾相识的挖矿
weiwhy 2019-11-19 23:31:53 698人浏览

首先先ps一下

image.png

可以看到明显的两个进程,根据我这么多年的应急经验,这个绝对就是要么挖矿进程,要么横向工具,查看12266这个进程的信息,可疑看到好多对外发起的请求,多为6379,6380等,根据我多年总结的经验,这个应该是横向工具没错,利用redis未授权进行扩散。

见下图:

image.png

然后我来到这个进程的目录下,是/tmp目录

image.png

然后有config.json吸引了我的注意,可惜是个空文件。

然后我查看了122_og,如下图:

image.png

image.png

很明显了,是启动脚本的输出日志。

然后我们也知道了配置文件是远程下载下来的。

https://de.gsearch.com.de/api/config.json

https://de.gsearch.com.de/api/update.sh

https://de.gsearch.com.de/api/networkservice

可惜这个服务器已经不在了,

但是下载ps的链接依然还在

http://185.181.10.234/E5DB0E07C3D7BE80V520/init.ps1

有点晚了,该睡觉了,我直接把这个目录下的文件打包吧

image.png





ip地址(1) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
匿名用户 2019-11-25 11:42:21 回复
这么秀的
jing-1tap 2019-11-25 01:47:29 回复
学习了
xysecurity 2019-11-22 14:35:05 回复
厉害
匿名用户 2019-11-21 09:43:31 回复
司马老哥666
trAnsmAtion 2019-11-20 10:12:57 回复
优秀啊兄弟
匿名用户 2019-11-20 10:00:41 回复
很棒