linux实战-挖矿

简介
应急响应工程师在内网服务器发现有台主机 cpu 占用过高，猜测可能是中了挖矿病毒，请溯源分析，提交对应的报告给应急小组
虚拟机账号密码 root websecyjxy web 端口为 8081
1、黑客的IP是？ flag格式：flag{黑客的ip地址}，如：flag{127.0.0.1}
2、黑客攻陷网站的具体时间是？ flag格式：flag{年-月-日 时:分:秒}，如：flag{2023-12-24 22:23:24}
3、黑客上传webshell的名称及密码是？ flag格式：flag{黑客上传的webshell名称-webshell密码}，如：flag{webshell.php-pass}
4、黑客提权后设置的后门文件名称是？ flag格式：flag{后门文件绝对路径加上名称}，如：flag{/etc/passwd}
5、对黑客上传的挖矿病毒进行分析，获取隐藏的Flag

步骤#1.1

在以下文件获取到网站访问日志，分析可得出在进行目录扫描操作，即可获取黑客的IP
/www/admin/websec_80/log/nginx_access_2023-12-22.log

步骤#1.2

dedecms弱口令进入后台：http://161.189.159.11:8081/dede/

admin:12345678

在系统用户管理功能发现黑客创建的hacker用户，登录时间即为黑客攻陷网站的时间

步骤#1.3

将网站源代码打包下载到本地，然后使用D盾进行分析，得到黑客上传的webshell

webshell是加密的，使用echo即可获取原始php代码

<?php
echo(gzuncompress(base64_decode('eJxLLUvM0VCJD/APDolWT85NUY/VtAYARQUGOA==')));
?>

即可获知webshell名称及密码：

步骤#1.4

查看root用户的历史命令，发现find被赋予了suid权限，黑客可以使用suid提权做后门

即find文件被做了后门

步骤#1.5

挖矿木马一般以计划任务方式下载执行，查看root用户的计划任务
常规命令无法查询，可以获取/etc/crontab文件内容查看所有的计划任务，分析得出黑客通过curl命令访问三个外部的恶意URL，之后再使用wget命令来下载其可执行文件ldm

可知挖矿木马的名称为ldm，查找挖矿木马在本机上的位置

下载到本地进行分析，均为挖矿木马的功能函数代码，逐行进行分析
在691行的一段python代码比较可疑，进行base64解码

nohup python2 -c "import base64;exec(base64.b64decode('aW1wb3J0IHRpbWUKd2hpbGUgMToKICAgIHByaW50KCJmbGFne3dlYnNlY19UcnVlQDg4OCF9IikKICAgIHRpbWUuc2xlZXAoMTAwMCk='))" >/dev/null 2>&1