phpmyadmin弱口令导致的XMRig挖矿木马事件

phpmyadmin弱口令导致的XMRig挖矿木马事件

Posted by 木已成舟 on February 21, 2021

0x00 前言

最近为了锻炼自己的应急响应能力,特地买了服务器给黑阔玩一玩。Windows Server 2012服务器使用phpstudy搭建Web服务,环境包括mysql弱口令+phpmyadmin+phpstudy后门,并开启了Apache日志记录。

0x01 发现异常

2021年2月20日22:00左右登录服务器发现CUP占用高,存在XMRig挖矿进程。

20210221114951

右键打开文件所在位置,XMRig.exe在Web目录下,初步判断为Web入侵(因为该主机还存在Redis未授权访问漏洞),攻击时间为2021年2月19日12:30左右。

20210221115056

0x02 系统排查

排查用户名,发现被添加了2个用户名,用户名分别是qianxue和Ty。

20210221115223

查询详细qianxue用户的信息,获取到创建时间为2021年2月19日12:31:18,属于administrators组

20210221115311

查询详细Ty用户的信息,获取到创建时间为2021年2月19日12:02:57,属于administrators组

20210221115353

排查网络连接行为,存在很多异常的3389连接,这边先忽略redis的连接。

20210221115432

相比其他异常连接,最异常的是下面的这个连接。与101.32.73.178:13333进行通讯,查询PID3728对应挖矿程序,应该就是矿池地址了。

20210221115546

使用微步查询101.32.73.178,从用户标签和反查域名看确实是一个矿池地址。

20210221115631

使用Autoruns排查,未发现明显异常,没有添加任务计划和启动项,因此要抑制根除就容易了。

20210221115722

接下来再看看shell.php,很明显是通过phpmyadmin日志写shell的。

20210221115839

恶意样本xm.exe分析,从云沙箱中可以知道该文件的行为是下载xmr.exe文件和生成config.json。

20210221115941

20210221120016

查看config.json可以看到矿池的地址、用户名、密码,没搞过黑产,密码先打个码。

20210221120055

0x03 日志分析

排查完系统后,已经有了一些头绪,再来看看系统日志。

筛选登录成功的事件ID:4624,抓到了黑阔(182.115.167.198)于2021年2月19日12:35:40使用qianxue账号通过远程桌面登录成功。

20210221120139

20210221120203

对攻击者IP(182.115.167.198)进行查询,根据查询的结果已无法进行更深的溯源。

20210221120241

再来分析下Apache日志,发现攻击者(117.189.149.202)在2021年2月19日12:02:11左右通过mysql弱口令成功登录Phpmyadmin,再通过phpmyadmin写入了shell.php,其后攻击者(182.115.167.198)对shell.php多次访问。

20210221120343

0x04 抑制/根除

  1. 结束挖矿进程

  2. 删除qianxue和Ty两个恶意账号

  3. 修改mysql弱密码

  4. 删除相关恶意文件

0x05 总结

本次事件为XMRig挖矿木马事件。攻击者于2021年2月19日12:02:11左右通过mysql弱口令成功登录phpmyadmin,再通过phpmyadmin写入了shell.php。通过webshell管理工具添加两个用户Ty和qianxue、上传恶意文件xm.exe并执行,xm.exe下载挖矿程序xmr.exe和生成config.json挖矿配置文件,进行挖矿。

0x06 附录

矿池地址:

  • 101.32.73.178:13333
  • Mine.c3pool.com:13333

恶意IP:

  • 182.115.167.198
  • 117.189.149.202

样本沙箱行为分析:

https://s.threatbook.cn/report/file/6cdc5ec33b2070d1e4d702062d7c4f26a018f45b6263e2aa661ff94cf95e7115/?sign=history&env=win7_sp1_enx86_office2013

挖矿程序下载地址:

http://172.247.48.194/xmr.exe