挖矿分析-2

今天接着对这个进行分析,由于经验不足,没有对其log文件进行深入研究,昨天给那个md(挖矿木马)给了同事,然后他告诉我确定是个XMR(门罗币)挖矿,然后发送了一张图给我

挖矿分析-2_第1张图片


注意到这个地址:fee.xmrig.com:443

我们对其google一下:

挖矿分析-2_第2张图片

再次确定了这个XMRIG是个XMR的CPU矿工,然后我们继续查找,在github上发现这个XMRIG是个开源挖矿工具,C++写的

地址是:https://github.com/xmrig/xmrig#usage

挖矿分析-2_第3张图片

我们把这个挖矿工具先下载到我们的服务器上

git clone https://github.com/xmrig/xmrig.git

对其编译,运行,这里先暂停一下

我们把注意力放到XMRIG这个挖矿工具的一个配置文件config.json

挖矿分析-2_第4张图片

可以知道黑客挖矿的话所有的门罗币都是通过"url": "failover.xmrig.com:443"这个矿池来处理。

再次回到之前的受害服务器的log文件,定位到所有的md文件的命令操作,发现一条重要命令,通过查询发现,这条命令是运行md挖矿木马的命令

挖矿分析-2_第5张图片

使用那条命令,我们将其md文件拷贝到本机的kali下面进行分析

挖矿分析-2_第6张图片

通过查询该ip地址115.234.218.70,地点是爱尔兰,就是矿池的ip

挖矿分析-2_第7张图片


接下来,我们重点分析一下之前的那条命令

 ./md --cpu-affinity=0xFFFFFFFF --cpu-priority=5 --max-cpu-usage=90 --donate-level=1 --nicehash -o stratum+tcp://185.234.218.70:80 -u 9b270a4a353480ceb04c8bbe879f66 -p x -k

-cpu-affinity=0xFFFFFFFF --cpu-priority=5 --max-cpu-usage=90,这几个都是cpu配置参数,我们不管,--donate-level=1,这个--donate-level是默认捐赠比例,XMRIG软件默认的捐赠是 5 %,最低为 1 % ,--nicehash -o stratum+tcp://185.234.218.70:80 ,这个是矿场配置。stratum是一种服务器的覆盖协议,-u 9b270a4a353480ceb04c8bbe879f66,这个比较重要,指向的是黑客的XMR钱包(我们可以篡改他的钱包地址哈哈)

挖矿分析-2_第8张图片


挖矿分析-2_第9张图片


我们现在最关心的事情就是黑客的ip地址,然后社工一波黑客,嘿嘿,坐等接下来的分析把...

这里我补充一下门罗币挖矿流程:

挖矿分析-2_第10张图片

参考链接:

https://mp.weixin.qq.com/s?__biz=MzAwMTUwNDMwMQ==&mid=305803785&idx=1&sn=947011819671cb989f3866d3aa6f22b2&mpshare=1&scene=1&srcid=04274nmPA3dpwY3NnGZPOF4B#rd

https://blog.csdn.net/xiao_tata/article/details/78888782

https://en.bitcoin.it/wiki/Stratum

https://www.nicehash.com/?lang=zh

https://github.com/xmrig/xmrig






你可能感兴趣的:(系统,Web渗透测试)