一 基本情况

1.1 简略

此恶性事件是上年应急管理时进行的汇报，距今有大半年時间了。一直存有电脑上里，近期提前准备健全应急响应中碰到的各种安全事故，本文做为这一系列的开始。

针对 Linux 安全大检查，本人上一段时间写了个 shell 用以一键开展 Linux 安全大检查，文中对 Linux 的查验应用有关脚本制作均可完成，有关连接以下:

1.2 状况介绍

2018 年 11 月 8 日，我司「捕影」应急响应工作组收到项目外包精英团队意见反馈，某客户 OA 被 360 电脑浏览器提醒「网址存有数字货币ku个人行为」，我司应急响应工作组开展分析后确定为真实故事，接着开展黑客攻击分析。

1.3 紧急結果

历经分析，分辨本次恶性事件为网络黑客故意进攻而致，历经安徽省三实「捕影」应急响应工作组的分析，现阶段获得下列结果:

1. 此 OA 为某客户老的 OA，由于必须应用其数据信息才临时性开启。

2. 此网络服务器相匹配內部 IP 为 10.134.1.76，现阶段对互联网技术仅对外开放其 6001 端口号，22 端口号只有根据內部浏览；现阶段仅对互联网技术对外开放 6001 端口号。

3. 系统软件账户一切正常

4. 数据连接状况一切正常

5. 开放端口太多，提议禁止使用非业务流程端口号

6. 计划任务发觉历史时间 (2018 年 10 月 29 日至 2018 年 11 月 8 日) 曾定时执行免费下载ku程序流程

7. 历史时间指令分析历史时间曾免费下载ku程序流程

8. 开机启动项一切正常

9. 系统软件方面未发觉病毒感染、木马病毒、侧门

10. 由于其 OA 日志仅储存 2018 年 11 月 13 日至 2018 年 11 月 14 日，网络黑客植入ku程序流程在 2018 年 11 月 8 号及之前，无有关日志，没法分析黑客攻击的方式。

11. 现阶段上溯 2018 年 10 月 29 日已被植入ku程序流程；2018 年 11 月 8 日或更早被植入 JS 编码开展ku

12. 未储存黑客入侵时 web 运用的有关日志，没法根据日志分析黑客攻击的方法，可是 webgloic 有关版本号存有较多高风险系统漏洞，推断运用 weblogic 系统漏洞侵入的概率很大。

二 分析全过程

下边将对于本次应急管理的全过程做大概的论述。

2.1 侵入状况

2018 年 11 月 8 日，我司「捕影」应急响应工作组收到项目外包精英团队意见反馈，某客户 OA 被 360 电脑浏览器提醒「网址存有数字货币ku个人行为」，详细情况以下所显示：

图 1-360 电脑浏览器提醒 OA 系统软件「网址存有数字货币ku个人行为」

2.2 ku认证

360 电脑浏览器提醒「网址存有数字货币ku个人行为」, 表明很有可能存有有关个人行为。我司应急响应工作人员对其网站源代码分析，发觉网页页面有好几处载入 JS 的个人行为，根据对载入的 JS 逐一分析，发觉有一处 JS 有异常。

图 2-OA 载入 JS 脚本制作

对这一 JS 脚本制作开展分析，发觉该脚本制作确实被植入 JS ku脚本制作，实际以下：

图 3-OA 载入ku脚本制作

图 4-ku JS 编码作用

图 5-ku JS 源代码

图 6-ku网址

图 7-LoginID 关键点

能够见到，这里边的 ID31f7dd372f1545eeb6db379490b0e3c5 为 LoginID, 并非 XMR 的详细地址，根据将 XMR 详细地址根据相对的优化算法变换为 LoginID, 防止了搜索真正的 XMR 详细地址，具有了保护隐私的目地。

根据上边的分析，能够见到该 JS 的大约作用以下：

ku软件详细地址

ku方法

网页页面ku (JS ku) 一切正常客户浏览被植入 JS 的网址 (OA 系统软件)，一切正常客户的电脑浏览器都是会全自动为网络攻击ku。ku应用 CPU ku，电脑浏览器会占有全部的 CPU 資源。

植入的 JS

XMR 详细地址

没法查到，网络攻击将 XMR 详细地址应用优化算法变换为 LoginID，进而防止搜索其 XMR 详细地址及其有关的挖出数字货币的有关数据信息。 LoginID: 31f7dd372f1545eeb6db379490b0e3c5

ku JS 被植入時间

2018 年 11 月 8 日或更早

挖数字货币种类

XMR 门罗币, 一种全密名的数字货币。其特性取决于交易方式全密名，没法跟踪。

网络服务器被植入ku脚本制作表明网络服务器毫无疑问被黑客攻击了，因为现阶段 OA 系统软件网络服务器仅 6001 端口号对互联网技术对外开放，因而根据 web 运用侵入的概率较为大。此外，黑客攻击之后很有可能会系统对及运用开展实际操作，如加上账户、开放端口、提升计划任务、开机启动程序流程、植入 webshell、侧门等，因而必须对对系统 web 运用开展全方位分析，以发觉网络黑客很有可能开展的故意实际操作个人行为。

2.3 系统软件分析

2.3.1 开放端口分析

对 OA 网络服务器的开放端口, 发觉其对外开放下列端口号。