湾区杯 SilentMiner WP

1. 攻击者的ip地址

查看文件 /var/log/btmp 发现短时间内大量登录,可确定攻击者 ip 为 192.168.145.131

lastb -f /var/log/btmp

assets/湾区杯 SilentMiner WP/image-20250911234646812.png

192.168.145.131

2. 攻击者共进行多少次ssh口令爆破失败?

根据 /var/log/btmp 文件计数

lastb -f btmp | grep 192.168.145.131 | wc -l

也可以在 /var/log/auth.log 筛选 Failed password,但这里有一条为 kali 用户的登录爆破,auth.log 记录为Invalid user kali from,注意加上

258

3. 后门文件路径的绝对路径

审计 /var/log/auth.log 发现攻击者对 sshd 进行了修改,路径为 /usr/sbin/sshd

assets/湾区杯 SilentMiner WP/image-20250911235310172.png

查看被修改的文件,发现为后门脚本

assets/湾区杯 SilentMiner WP/image-20250911235606895.png

/usr/sbin/sshd

4. 攻击者用户分发恶意文件的域名

根据攻击者登录系统的时间时间排查 /var/log/dnsmapsq.log ,发现可疑域名

assets/湾区杯 SilentMiner WP/image-20250912000851499.png

tombaky.com

5. 挖矿病毒所属的家族是什么?

使用 rstudio 恢复文件 /tmp/SXyq, base64+gunzip+base64 解码得到恶意脚本

观察脚本发现为 kinsing 家族

assets/湾区杯 SilentMiner WP/image-20250912002924322.png
assets/湾区杯 SilentMiner WP/image-20250912003606364.png

kinsing
posted @ 2025-09-12 00:37  PengSoar  阅读(37)  评论(0)    收藏  举报