ZenithGenius/wordpress-xmrig-cryptojacking

GitHub: ZenithGenius/wordpress-xmrig-cryptojacking

一份 WordPress 加密劫持事件的完整技术分析报告,包含 IOC、YARA 规则及可复现的全隔离 Docker 靶场。

Stars: 0 | Forks: 0

# WordPress 到 XMRig 加密劫持:事件分析与可复现靶场 这是一起关于 WordPress 服务器被入侵用于挖取 Monero 的技术应急响应案例研究。内容涵盖了取证调查、样本逆向工程,以及一个可安全重现整个攻击链的全隔离靶场。 ## 阅读分析报告 [完整技术分析](./analysis/xmrig-wordpress-cryptojacking.md) 涵盖了攻击链、逐个工件分析、XMRig 静态分析、根本原因以及检测与防御加固。 - [入侵指标与 YARA 规则](./analysis/IOCs.md) - [可直接粘贴的 LinkedIn 帖子](./analysis/linkedin-post.md) ## 运行靶场 [`academy-wp-lab/`](./academy-wp-lab/README.md) 是一个包含五个服务的 Docker stack,可在无互联网路由的 `internal: true` 网络上重现入侵过程。它会运行真实的 XMRig,并将其连接到本地的伪造 Stratum 矿池。 ``` cd academy-wp-lab docker compose up -d --build # start (WordPress, DB, CDN, fake pool, proxy) ./trigger.sh # detonate: dropper, miner, pool shows shares ./reset.sh # wipe everything the attack dropped ``` 提供两种模式,可通过 `.env` 中的 `LAB_MODE` 进行设置: - `exploit`:自行利用真实的 wp-file-manager 6.0 (CVE-2020-25213) 漏洞进行上传。 - `preseeded`:从已植入的 web shell 开始,专注于挖矿程序和应急响应。 靶场指南:[攻击者演练](./academy-wp-lab/docs/01-attacker-walkthrough.md)、[防守方应急响应](./academy-wp-lab/docs/02-defender-IR.md)、[检测与防御加固](./academy-wp-lab/docs/03-detection.md)。 ## 一图看懂攻击过程 ``` flowchart LR A[Vulnerable WP plugin
unauth upload] --> B[Web shell
wp-loader.php] B --> C[Loader
wp-helper.php] C --> D[XMRig in 11 parts
from CDN] D --> E[wp-worker.exe
in wp-content/] E --> F[Mine Monero
to public pool] C -. HTTP keepalive .-> C ``` ## 精彩之处 - **原生的 XMRig 6.26.0,自行编译**,基于 Alpine 和 musl,生成了全新的哈希值,可规避仅依赖特征码的防病毒软件。 - **二进制文件中没有矿池或钱包地址。** 配置被外部化到了加载器中,因此一个干净的二进制文件可以在多个受害者之间重复使用。 - **十一段分块传输**,比一次性下载 8 MB 更加隐蔽。 - **持久化机制存在于 HTTP 中。** 没有 cron,没有 systemd;通过周期性的 GET 请求来重启挖矿程序。 ## 仓库结构 ``` analysis/ public writeup, IOCs and YARA, LinkedIn post academy-wp-lab/ the reproducible, isolated Docker lab _layouts/ assets/ _config.yml GitHub Pages (Jekyll with vendored Mermaid and fonts) ``` ## GitHub Pages 此仓库是一个 Jekyll 站点。在设置中启用 Pages,然后选择 Deploy from branch,分支选择 `main` 并指向根目录。随后,分析报告将连同渲染好的图表和截图发布至: **https://zenithgenius.github.io/wordpress-xmrig-cryptojacking/analysis/xmrig-wordpress-cryptojacking.html** 站点构建过程排除了私有的 `incident-2026-07-14/` 和 `docs/` 目录。如果不使用 Pages,该分析报告也可以直接在 GitHub 上完整渲染,包括 Mermaid 图表。 ## 致谢 分析与靶场由 Isaac Joumessi 完成。挖矿程序:[XMRig](https://github.com/xmrig/xmrig),开源软件,在此处被滥用。仅供教育和防御用途。
标签:CISA项目, DAST, Docker, ffuf, OPA, 安全防御评估, 库, 应急响应, 恶意软件分析, 数字取证, 版权保护, 自动化脚本, 请求拦截, 靶场