- 攻击者的ip地址
查看文件 /var/log/btmp 发现短时间内大量登录,可确定攻击者 ip 为 192.168.145.131
lastb -f /var/log/btmp
192.168.145.131
- 攻击者共进行多少次ssh口令爆破失败?
根据 /var/log/btmp 文件计数
lastb -f btmp | grep 192.168.145.131 | wc -l
也可以在 /var/log/auth.log 筛选 Failed password,但这里有一条为 kali 用户的登录爆破,auth.log 记录为Invalid user kali from,注意加上
258
- 后门文件路径的绝对路径
审计 /var/log/auth.log 发现攻击者对 sshd 进行了修改,路径为 /usr/sbin/sshd
查看被修改的文件,发现为后门脚本
/usr/sbin/sshd
- 攻击者用户分发恶意文件的域名
根据攻击者登录系统的时间时间排查 /var/log/dnsmapsq.log ,发现可疑域名
tombaky.com
- 挖矿病毒所属的家族是什么?
使用 rstudio 恢复文件 /tmp/SXyq, base64+gunzip+base64 解码得到恶意脚本
观察脚本发现为 kinsing 家族
kinsing