FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

背景

某客户现场溯源工作过程中，发现攻击者对业务系统发起strust2远程命令执行漏洞（CVE-2017-5638）攻击行为，发现告警后立即开展溯源分析。

攻击分析

经对攻击数据包进行深度分析，判定攻击结果失败，随后对攻击IP开展溯源反制。

对该攻击者IP归属情况进行分析，发现该攻击IP地址来自印度安得拉。

反制攻击IP

对该攻击IP地址进行端口扫描，发现开放端口8080和1443。

通过访问8080端口发现服务器搭建了Jboss服务。

分析网站猜测可能存在Jboss反序列化漏洞，通过抓包验证后确认存在此漏洞，利用Jboss反序列化漏洞反弹shell成功获得服务器root权限，具体内容如下图所示。

溯源过程

将此攻击IP:202.83.31.224放入威胁情报中，发现该IP被标记为恶意、扫描等标签，攻击画像记录与安全监测设备告警类型一致。

查看受控主机历史操作记录，发现有连接51.79.85.144下载b.pl文件与下载194.145.227.21/ldr.sh?e39dc2的记录,查看文件b.pl已删除，访问http://51.79.85.144/b发现为python文件，内容为连接http://www.minpop.com下载idents.php与http://51.79.85.144/j，且赋予文件可读写执行权限，疑似b.pl文件为恶意文件。

查询IP：51.79.85.144威胁情报信息，被标记多个恶意标签，扫描该IP端口信息发现开放了80端口。访问http://51.7985.144发现服务器搭建了一款游戏平台，注册用户后登录发现有下载客户端链接，供下载的客户端被植入木马程序与公共矿池地址，下载b.p1文件进行云沙箱检测发现为后门程序，与威胁情报恶意样本匹配，疑似用于控制肉鸡传输数据，测试IP：51.79.85.144未发现可利用的漏洞。

查询www.minpop.com威胁情报信息，发现为挖矿相关域名。

查询IP：194.145.227.21威胁情报信息，被标记多个恶意标签，并且发现该地址为双平台挖矿僵尸网络Sysrv-hello恶意主脚本ldr.sh下载地址，恶意主脚本ldr.sh为sys.x86_64运行后会执行shell命令下载的恶意主脚本，从而实现持久化控制。

查看受控主机进程确认存在sys.x86_64、ldr.sh两个进程，同时sys.x86_64主程序运行后还会释放门罗币挖矿程序kthreaddi，以及挖矿配置文件config.json进行挖矿，对应的挖矿进程名为kthreaddk，可看到主机CPU资源几乎完全被挖矿进程占据，严重影响正常业务运转。

IOC查询：

ldr.sh MD5值：0fdff38895238f2259db6d186aee5a7e。

sys.x86_64 MD5值：64F7F910849BC479EC72A5E2167C8D78。

Kthreaddk.exe MD5值：a7013a2c7fd3a6168a7c0d9eed825c32。

查看历史命令执行记录，发现受控主机访问了https://c3pool.com/，经访问验证为矿池地址，钱包地址为82ZKRroUEb59opzWYmsRe556ZCoX9MpUpZuUYFvzxgTLExAsKAhgtdV3u5JRiNBVRi5sPFwoECTbvVS3axQE1z8dDJRC1Ty，通过查看端口监听状态发现外联地址为51.79.85.144，进一步确认为控制肉鸡挖矿的主机，端口监听状态为established。

访问矿池地址与钱包地址，发现在线矿机14台，获利0.009926罗门币，进一步确认该受控主机为双平台Sysrv-hello挖矿团伙进行挖矿的矿工机。

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）