前景需要:
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名用户:
administrator
密码
Zgsf@admin.com
挖矿木马攻击
- 典型行为:CPU 占用率长期飙高,进程名多为随机字符或伪装成系统进程(如
svchost.exe),会持续连接境外矿池 IP。 - 应急要点:用
netstat -ano定位矿池连接,反向解析域名;检查自启动项 / 计划任务找到挖矿程序启动路径;清理隐藏账户与恶意文件。 - 在 Windows 系统上的实现通常分为入侵植入 → 持久化生存 → 挖矿执行 → 隐藏逃避四个阶段
环境配置-关闭防火墙
![assets/Windows1/Pasted image 20260119092236.png]]
所需工具:
- D盾:排查木马文件
- Exeinfo PE:查壳工具,识别程序的打包工具或加壳类型
- python-exe-unpacker:将可执行文件反编译为python字节码
- pycdc:将字节码反编译为完整python代码github.com
Python代码执行路径
源码(.py) → 词法/语法分析 → AST(抽象语法树) → 字节码(.pyc) → Python虚拟机 → 执行
Python反编译基本步骤
字节码文件(.pyc) → 解析文件头 → 提取代码对象 → 反汇编字节码 → 重建AST → 生成Python源码
Step 1 排查shell文件
根据要求提示,查找shell文件并获取密码
在桌面发现phpstudy
法1:上传D盾查找木马文件
![assets/Windows1/Pasted image 20260119135247.png]]
发现可疑木马文件
![assets/Windows1/Pasted image 20260119141213.png]]
法2:查看网站日志
![assets/Windows1/Pasted image 20260119141053.png]]
同时获取木马文件路径与攻击者IP
![assets/Windows1/Pasted image 20260119141246.png]]
查看shell.php文件内容
![assets/Windows1/Pasted image 20260119141332.png]]
明显为冰蝎流量特征,确认shell密码为冰蝎默认连接密码rebeyond
Step 2 排查隐藏账户
以管理员身份打开终端
常用命令:
net localgroup administrators
![assets/Windows1/Pasted image 20260119094343.png]]wmic useraccount
![assets/Windows1/Pasted image 20260119095437.png]]Get-LocalUser(PowerShell)
![assets/Windows1/Pasted image 20260119095510.png]]reg query HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
![assets/Windows1/Pasted image 20260119100556.png]]
注:需查看注册表编辑器确定路径
隐藏账户:hack168$
Step 3 获取攻击者IP地址
Windows安全日志路径:
C:\Windows\System32\winevt\Logs\Security.evtx
![assets/Windows1/Pasted image 20260119102434.png]]
(1)筛选事件ID4720(创建用户账号),可知攻击者在2024/2/26 23:01:13 创建了隐藏账户 hack168$
![assets/Windows1/Pasted image 20260119102659.png]]
(2)筛选事件ID4732(将用户添加到本地组),MemberSid与hack168$对应的Sid相同,可知攻击者在2024/2/26 23:01:37将账户添加到管理组
![assets/Windows1/Pasted image 20260119104340.png]]
(3)筛选事件ID4624(成功登录),可知攻击者在2024/2/26 23:02:23登录到本电脑,成功获取攻击者IP192.168.126.1
![assets/Windows1/Pasted image 20260119105502.png]]
Step 4 登录攻击者账户
以管理员权限修改hack168$账户密码
net user hack168$ 12345aaa!@#
![assets/Windows1/Pasted image 20260119110914.png]]
在桌面发现不明程序
![assets/Windows1/Pasted image 20260119112741.png]]
上传Exeinfo PE文件查壳
![assets/Windows1/Pasted image 20260119142230.png]]
x64 - [PyInstaller v3.6.1 - 200520]
这是 64 位程序,由 PyInstaller 3.6.1 版本打包生成
python:python38.dll
程序内部打包了 Python 3.8 的运行时库
由此,可以利用python-exe-unpacked工具对exe文件反编译为字节码
在本实验环境中无python环境,需要自己上传(如python311)
![assets/Windows1/Pasted image 20260119160948.png]]
打开生成的反编译文件夹,找到kuang同名文件
![assets/Windows1/Pasted image 20260119161134.png]]
将后缀修改为pyc(字节码文件)
![assets/Windows1/Pasted image 20260119161749.png]]
安装并使用uncompyle6将pyc文件反编译成可读的python代码
C:\Users\Noahxxx\AppData\Local\Programs\Python\Python311\python.exe -m pip install uncompyle6
C:\Users\Noahxxx\AppData\Local\Programs\Python\Python311\Scripts\uncompyle6 Kuang.pyc > Kuang_source.py
![assets/Windows1/Pasted image 20260119161951.png]]
报错 Unknown magic number 227 是因为 Kuang.pyc 的文件头被 PyInstaller 打包时修改了,缺少标准magic number头,导致 uncompyle6 无法识别它。这是恶意软件常用的反分析手段。
解决方法: 将字节码被修改的文件头替换为正常数值,即在文件开头插入Python3.8对应的magic number(55 0D 0D 0A),之后换用工具pycdc进行反编译。
任意打开一个正常的pyc文件,复制正确的文件头
![assets/Windows1/Pasted image 20260119164719.png]]
插入kuang.pyc的开头
![assets/Windows1/Pasted image 20260119164913.png]]
反编译成功,获取恶意挖矿程序源代码
(通过 multiprocessing 模块,在我们的服务器上启动与 CPU 核心数相同的进程,每个进程都执行 cpu_intensive_task() 函数,并持续向攻击者的矿池地址 http://wakuang.zhigongshanfang.top 发起请求,以提交挖矿结果并接收任务)
![assets/Windows1/Pasted image 20260119164930.png]]
矿池地址即为`http://wakuang.zhigongshanfang.top
总结
1. 核心攻击信息(通关条件)
| 关键信息 | 结果 |
|---|---|
| 攻击者 shell 密码 | 冰蝎默认密码 rebeyond |
| 攻击者 IP 地址 | 192.168.126.1 |
| 隐藏账户名称 | hack168$(带 $ 隐藏的管理员账户) |
| 挖矿程序矿池域名 | http://wakuang.zhigongshanfang.top |
2. 核心排查流程
- Shell 文件排查:通过 D 盾 / 网站日志定位到冰蝎木马文件
shell.php,提取默认连接密码rebeyond; - 隐藏账户发现:使用
net localgroup administrators/reg query等命令,发现攻击者创建的隐藏账户hack168$; - 攻击者 IP 溯源:分析 Windows 安全日志(Security.evtx),筛选事件 ID4624(成功登录),定位攻击者 IP
192.168.126.1; - 挖矿程序分析:
- 查壳确认
Kuang.exe是 PyInstaller 3.6.1 打包的 Python 挖矿程序; - 反编译时遇
magic number篡改问题,通过在Kuang.pyc开头插入 Python3.8 标准头55 0D 0D 0A,使用pycdc成功反编译; - 提取出挖矿程序核心行为:多进程占用 CPU 挖矿,连接指定矿池提交算力结果。
- 查壳确认
3. 关键技术要点
- Python 程序反编译核心:
.exe(PyInstaller打包)→ .pyc(字节码)→ 补全magic number → pycdc反编译→ 源码; - 恶意挖矿程序特征:CPU 占用飙升、后台静默运行、持续连接矿池域名、创建隐藏账户实现持久化;
- Windows 日志溯源关键事件 ID:4720(创建账户)、4732(添加管理员组)、4624(成功登录)。
4. 核心处置建议
- 立即终止
Kuang.exe进程,删除挖矿程序及反编译残留文件; - 删除隐藏账户
hack168$,修改服务器管理员密码; - 封禁攻击者 IP
192.168.126.1和矿池域名wakuang.zhigongshanfang.top; - 清理冰蝎木马文件,加固服务器远程访问、防火墙等安全配置。