Skip to content

antony@notes:~/misc$ cat "資安事件報告-proxy-ap1-192.168.1.21-加密貨幣挖礦惡意程式入侵.md"

資安事件報告 - proxy-ap1 (192.168.1.21) 加密貨幣挖礦惡意程式入侵

2026-05-06· misc

資安事件調查報告:proxy-ap1 伺服器遭資源劫持與潛伏入侵 (修訂版)

1. 事件概要

內部跳板與開發伺服器 proxy-ap1 (IP: 192.168.1.21) 遭未授權入侵。經鑑識確認,本事件為典型的 加密貨幣資源劫持 (Cryptojacking),攻擊者透過對外暴露的 SSH 服務進行長期的密碼暴力破解,成功取得系統 root 權限。

攻擊者入侵後展現出高度的隱蔽技巧:

  1. 降權躲避查緝:取得 root 後,刻意切換至一般使用者 andy 的身分,於 /var/tmp/ 目錄下執行挖礦程式,以避免在系統資源監控(如 top)中出現 root 執行高耗能程序的突兀現象。
  2. 雙軌營利模式:同時運行傳統的 XMRig 惡意挖礦(挖掘 Monero)與合法的 Vortix Cloud DePIN 算力出租節點(vortix-agent),多管齊下榨取伺服器算力。
  3. 深度潛伏:部署了 sshdd.so (利用 LD_PRELOAD 機制的 Userland Rootkit) 來隱藏實體檔案,並建立 systemd 幽靈帳號與 sudoers 免密碼提權後門,確保能長期掌控系統。

本事件未發現明確的資料外洩 (Data Exfiltration) 傳輸行為。初始調查中 /var/tmp/syst3md.1~8 出現的 2025 年 11 月 檔案時間戳記,經查證為攻擊者使用 wgetcurl 下載工具時,保留了中繼伺服器上原始檔案之 Last-Modified 時間所致(Time-stomping 假象),實際入侵時間確認為 2026 年 2 月 15 日


2. 受影響範圍評估

  • 確診受害主機: proxy-ap1 (192.168.1.21)
  • 初始感染源 (Patient Zero): proxy-ap1 伺服器本身(因 SSH 對外開放且密碼遭暴力破解),已排除終端使用者 andy 之個人電腦遭惡意程式感染的風險
  • 橫向移動風險評估: 雖然攻擊者主要目標為挖礦,但因其曾掌握 root 權限長達 80 餘天,伺服器上曾存放之 bbg 等使用者的 SSH 私鑰、GitLab 密碼及各類環境變數 Token 均需視為「已遭曝露」。內網 K8s/RKE2 節點(192.168.1.12 等 30+ 台主機)具有潛在橫向感染風險,需全面清查。

3. 攻擊時間軸 (Timeline)

發生時間攻擊階段關鍵事件與動作描述
2026-01 至 02 月初始存取 (Initial Access)系統遭來自多個海外 IP (如 121.64.89.228) 之持續性 SSH 暴力破解攻擊,導致 btmp 錯誤登入日誌暴增至 258MB。
2026-02-15 13:06破城與持久化攻擊者成功猜中 root(或具 sudo 權限帳號)密碼。登入後上傳 Launcher (/usr/bin/log)。
2026-02-15 13:07佈署後門植入 Rootkit (sshdd.so);建立幽靈帳號 systemd (UID 1003) 並修改 /etc/sudoers 賦予免密碼提權能力。
2026-02-15 13:08降權執行挖礦啟用 /etc/ld.so.preload 隱藏行蹤;切換為 andy 身份,下載並執行 XMRig 礦工 (syst3md / /var/log/log)。(註:此時下載的檔案帶有 2025-11-19 之原始 HTTP 標頭時間)
2026-03-02工具更新攻擊者下載 mOymN.gz (6MB 工具包)。
2026-03-28部署 DePIN 獲利攻擊者上傳 vortix-agent (15.7MB) 並執行,開始利用 Vortix Cloud 進行算力出租獲利。
2026-04-18持續活動下載器腳本 cli 進行最後一次更新。
2026-05-06偵測與應變管理員發現異常 (LD_PRELOAD 攔截),展開鑑識,確認入侵路徑並進行緊急止血。

4. 威脅指標 (IoCs)

4.1 惡意檔案與 Hash (SHA256)

  • Rootkit (/usr/local/lib/sshdd.so): acb2e78d748e9a22e80c386a58f6377f683fce556bc64da2bd6d82b2a9207e3c
  • Launcher (/usr/bin/log): c8e59338f471e255a40e13ef810db7db98ce018e417211ca0bdf90ef8cdd3894
  • XMRig Miner (/var/log/log & /var/tmp/syst3md.1): dcf343df280816c4856ee164b9b4b14906a09b1fd4bfab604ee9370529ed61d1
  • Vortix CLI (/var/tmp/cli): c21fa4c1d6ed5342e49ef0561cc566a2cbe06a83f6298374fe9cb4f8027b6911
  • Vortix Agent (/var/tmp/vortix-agent): c6b67c7ffc11c67eea889b8e0eef6891123123388297e0deaa490837a7b06833
  • Tool Archive (/var/tmp/mOymN.gz): ac15860162f216d03e374d07f7eeb42944e4b0f08e78ea2468f3df9cbdb860cf

4.2 系統入侵跡證

  • 檔案隱藏機制: /etc/ld.so.preload (內容包含 /usr/local/lib/sshdd.so)
  • 持久化服務: /etc/systemd/system/log.service
  • Cron 後門: /etc/cron.hourly/0 (權限 5777,大小 0 bytes)
  • 提權後門帳號:
    • /etc/passwd 中存在偽裝帳號 systemd:x:1003:1003:...
    • /etc/sudoers 中存在越權設定 systemd ALL=(ALL) NOPASSWD:ALL

4.3 網路與通訊 (Network/C2)

  • 77.221.157.206:6196 (Rootkit 內建 C2)
  • 141.95.72.59 (Rootkit 內建 C2)
  • 139.99.125.38 (Rootkit 內建 C2)
  • 139.99.123.196 (Rootkit 內建 C2)
  • 141.94.96.71:3333 (活動礦池)
  • 94.26.106.195 (HTTP Staging Server,提供 cli 等惡意程式下載)
  • pool.supportxmr.com:9000 (合法 Monero 礦池,遭濫用)

4.4 攻擊者 Vortix DePIN 識別標記 (Tokens)

  • uUbGvGz7zAMgGtHsTo8EOi1krvj+OPi7SF5UMeoCJnU=
  • jUliaNLclI34oUpjC7ewra/HjEuw+UgYa7jrpxMBC3k=

5. 攻擊手法分析 (MITRE ATT&CK Mapping)

階段策略技術編號技術名稱具體行為對應
Initial AccessT1110.001Password Guessing針對伺服器對外 SSH 服務進行密集密碼暴力破解。
ExecutionT1059.004Unix Shell利用 Bash 執行 wget/curl 下載腳本與執行檔。
Privilege EscalationT1548.003Sudo and Sudo Caching建立 systemd 帳號並於 /etc/sudoers 寫入 NOPASSWD:ALL 後門。
Defense EvasionT1070.006Timestomp利用 wget 預設行為保留伺服器端舊時間戳記,造成調查干擾。
Defense EvasionT1548.002Bypass User Account Control取得 root 後刻意切換為 andy 身份執行耗能程式,規避直覺查緝。
Defense EvasionT1574.006Dynamic Linker Hijacking植入 sshdd.so 劫持 LD_PRELOAD,攔截目錄與檔案讀取 API。
PersistenceT1546.004Unix shell Configuration利用 Systemd (log.service) 與 Cron (/etc/cron.hourly/0) 進行駐留。
ImpactT1496Resource Hijacking同時執行 XMRig 與 Vortix Agent,劫持運算力進行雙重加密貨幣獲利。

6. 處置與防護建議

6.1 立即止血 (Containment)

  1. 強制中止惡意程序: 中止 /var/log/log/usr/bin/logclivortix-agent 等程序,並全面停用 log.service
  2. 根除 Rootkit 與實體檔案: 刪除 /etc/ld.so.preload 解除系統攔截,清理 /var/tmp/ 下之所有惡意工具與備份。
  3. 封堵後門帳號:/etc/passwd/etc/shadow 刪除 systemd 偽裝帳號,並修改 /etc/sudoers 移除越權規則。
  4. 網路封鎖: 於上層防火牆 (Firewall/Security Group) 設定阻擋已知之 C2 節點、礦池 IP 及 Staging Server。

6.2 系統重建與憑證輪替 (Eradication & Recovery)

  1. 作業系統重裝: 由於伺服器曾遭 Rootkit 高度掌控逾 80 天,強烈建議從乾淨的 ISO 映像檔重新安裝作業系統,僅可遷移純資料檔案(如設定檔、資料庫 dump),切勿直接複製執行檔或系統腳本。
  2. 全面撤銷與輪替憑證:
    • 強制重設所有伺服器本機帳號密碼。
    • 撤銷伺服器上 andybbg 等所有使用者的 SSH 私鑰,並重新核發。
    • 重設所有可能於伺服器上曝露之第三方憑證(如 GitLab Admin、K8s Secret 等)。

6.3 長期安全強化 (Post-Incident)

  1. 阻斷暴力破解根源 (最高優先級): 修改 /etc/ssh/sshd_config,設定 PasswordAuthentication no全面強制僅能使用 SSH 金鑰登入
  2. 存取來源限制: 透過防火牆限制 SSH 服務僅允許信任的來源 IP(如公司 VPN 網段)連線。
  3. 橫向掃描與威脅通報:
    • 使用本報告之 IoC 腳本,清查所有 bbg 曾登入過之內網 K8s 節點。
    • (選用)附上攻擊者 Token 向 abuse@vortix.cloud 提出檢舉,阻斷攻擊者利用合法 DePIN 平台之洗錢管道。