蜜罐捕获
发现通过Redis入口进行挖矿
xunyi 2020-04-25 18:05:55 1091人浏览

image.png


2020年4月25号下午,部署的在某台香港服务器上的蜜罐捕获到了通过扫描Redis弱口令反弹shell进行挖矿的行为,来源ip为:39.100.200.31,阿里云的机器。

image.png


通过cur,在境外的一台服务器上下载一个init.sh脚本,然后脚本执行禁用selinux,并将挖矿的脚本下载执行,同时还附带配置文件,配置文件中包含矿池的地址和钱包以及币种

image.png


同时还kill了一些可能是木马的进程,目的大概是如果这台机子上有别人的木马就kill掉,免得影响自己挖矿~


image.png


配置文件:

image.png


ip地址(2) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
Hash(1) 检测结果 关联样本 微步标签 打包价格:1 全部 < 1/1 >
匿名用户 2020-05-03 21:19:51 回复
文章开头部分的图片是什么项目?
cccccwq 2020-05-09 09:01:33 回复
hifish
匿名用户 2020-04-26 18:38:13 回复
厉害
熊猫正正 2020-04-26 16:48:59 回复
详细分析报告,参考:https://mp.weixin.qq.com/s/cnGqjRe7b1Ic7WOLchSwYA
xunyi 2020-04-27 12:45:57 回复
回复@熊猫正正: 很强
xxx 2020-04-26 10:35:02 回复
watchdog