【蜜罐捕获】Linux下的活跃的DDoS攻击病毒

admin · 发表于 2019-5-13 17:03:32

IOC：
58.218.67.161

入侵方式：SSH爆破入侵
今天下午（2019年5月13日 15:15:44）蜜罐系统捕捉到一个DDoS攻击病毒

过了不久之后蜜罐系统的网络流量开始出现异常
我对蜜罐系统做了个限流同时在上层服务器启动抓包对其进行监控

对IP为 47.244.69.85 的阿里云服务器发送大量的udp垃圾数据包！
立刻监控病毒程序！

带有udp的网络连接
同时查找此程序的tcp网络连接

可疑服务器IP：58.218.67.161 端口：48080
48080端口！台风DDoS攻击端的默认端口！
同时根据上面的HFS下载站网址：http://58.218.67.161:82/
我们进去看一下

可以实锤了，此服务器是C&C服务器！
查到使用此C&C服务器的黑客的两条个人信息：
手机号：13826865926
QQ号：980155811

病毒样本压缩包解压密码：www.zhanyingwl.com

预防方案：不使用简易密码，若已使用请及时更改密码，同时查看系统进程内是否有异常的网络连接。