EXIN挖矿木马之横向渗透分析
在上一篇挖矿木马调试分析的文章中,已经分析了整个木马的主体部分,但由于篇幅过长,对于该木马横向渗透的部分还没有分析。所以今天再次对整个木马的源码进行复盘,补充上次分析中的疏漏之处。
在上一篇挖矿木马调试分析的文章中,已经分析了整个木马的主体部分,但由于篇幅过长,对于该木马横向渗透的部分还没有分析。所以今天再次对整个木马的源码进行复盘,补充上次分析中的疏漏之处。
在前一篇文章中,我大致分析了EXIN挖矿木马主要是通过docker 2375端口未授权访问来实现入侵的,虽然这个漏洞我很早就知道了,而且关于这个漏洞利用的文章早在两年前就有了。不过我是第一次在实际案例中遇到,我还是决定复现一下,作为经验积累。
前天晚上我们专业一位同学发消息告诉我,他的服务器被入侵木马挖矿了,CPU一直被挖矿进程占满,导致业务无法正常运行,他已经按照网上的方法清理过一遍,但无法彻底清除。让我帮他清理一下,我花了一天的时间仔细分析了这个挖矿脚本,最后彻底清除了,记录一下对该挖矿木马的调试分析过程。
Struts2是Apache软件基金会负责维护的一个基于MVC设计模式的Web应用框架开源项目。Apache Struts2存在S2-057远程代码执行漏洞。漏洞触发条件:1、定义XML配置时namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace。2、url标签未设置value和action值且上层动作未设置或用通配符namespace。攻击者可利用漏洞执行RCE攻击。
阅读更多