应急靶场-挖矿

1.攻击者开始攻击的时间
查看机器网络连接，发现3389端口开启

初步判断是通过rdp爆破，接着查看日志
筛选4625日志，发现同一时间有很多日志产生，所以判断是爆破

同一时间，看到登录成功日志

2025-05-21 20:25:22
2.攻击者的ip地址
攻击地址上面登录的日志已看到
192.168.115.131
3.攻击者攻击的端口
3389
4.挖矿程序的md5
任务管理器查看占用最高程序（我这里靶场环境有点问题，就是这个程序）


计算md5

A79D49F425F95E70DDF0C68C18ABC564

5.后门脚本的md5
查看计划任务发现可疑项

查看文件内容

发现为后门，计算md5

8414900F4C896964497C2CF6552EC4B9
6.矿池地址(仅域名)
这个程序有config.json，再目录下，我们查看文件得到矿池地址和钱包地址

auto.c3pool.org
7.攻击者的钱包地址
4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y
8.攻击者是如何攻击进入的
前面也分析了是由3389暴力破解进入的
暴力破解