說一說被挖礦事件搞的我想殺人的事!!!!
2019年9月18日,發現服務器被黑,用亞馬遜服務器挖礦。
服務器部署組件:nginx redis mongodb jdk
具體症狀如下:
安裝mongodb,啟動mongodb后,發現mongo命令被莫名的刪除,無法進入數據庫,php程序報錯內存不足,使用top命令查看發現有個miner2的進程占用cpu100%,
使用lsof -p $pid 號 發現進程是由一個叫/tmp/miner2的腳本啟動起來的,然而將文件刪除,進程殺掉,無任何作用,谷歌,百度 ,各種檢查問題,終於在百度上查到這樣一篇文章:
利用Redis未授權訪問漏洞進行門羅幣(XMR)挖礦事件分析
一、 概述
2019年8月30日,安洵信息星際實驗室蜜網捕獲到利用Redis未授權訪問漏洞的攻擊行為。Redis因配置不當可以導致未授權訪問,被攻擊者惡意利用。
當前流行的針對Redis未授權訪問的一種新型攻擊方式,在特定條件下,如果Redis以root身份運行,黑客可以給root賬戶寫入SSH公鑰文件,直接通過SSH登錄受害服務器,可導致服務器權限被獲取和數據刪除、泄露或加密勒索事件發生,嚴重危害業務正常服務。 部分服務器上的Redis 綁定在 0.0.0.0:6379,並且沒有開啟認證(這是Redis 的默認配置),以及該端口可以通過公網直接訪問,如果沒有采用相關的策略,比如添加防火牆規則避免其他非信任來源 ip 訪問等,將會導致 Redis 服務直接暴露在公網上,可能造成其他用戶可以直接在非授權情況下直接訪問Redis服務並進行相關操作。安全團隊對此次事件進行了詳細的樣本分析,並給出預防及修復建議。
二、 攻擊原理
攻擊原理非常簡單 – 攻擊者在內存中設置一個鍵/值對,然后將其保存到磁盤中的文件中,該位置將強制文件運行(例如/etc/crontabs,/var/spool/cron/crontab等)。
三、樣本分析
攻擊者先嘗試對不設置密碼的redis或者若密碼的redis服務器進行連接,然后執行腳本,創建定時任務。
腳本pm.sh分析
通過下載並執行腳本,該腳本會檢查並從下載可執行文件”pc”。
可執行程序pc分析
該可執行文件未進行加殼處理,主要包括下載挖礦程序、配置定時任務、關閉系統防火牆及相關進程等功能。
程序首先通過http://pm.ipfswallet.tk/miner2下載挖礦程序”miner2”,並賦予其相應權限,使其開始執行。
礦池地址:
stratum+tcp://pool.cpuminerpool.com:443
stratum+tcp://pool.minexmr.com:80
stratum+tcp://pool.minexmr.com:5555
錢包地址:
4AM2tbxHyDKLY2SLvwSoJ9S61mCdh8NXV6QZJQ7PVxm4T8ieufvW5zwJ84p8hS5Zij1DNeP195oBgPMBd8Gzmoj962Fjw1a
四、IOC
攻擊者IP:
220.194.237.43 河北唐山
104.28.30.36 美國
攻擊者URL:
樣本MD5:
fec85360ad9b3d894f958c4ad1aabb9c
c1c516250b1b5e7cbaaf00b9f38e197d
五、預防與修復建議
預防建議
(1)、確保系統與應用程序及時下載更新為官方提供的最新補丁;
(2)、禁止使用弱口令密碼;
(3)、定期檢查服務器異常,如CPU持續占用高、磁盤異常情況;
(4)、Redis不要監聽在危險IP上,如果有請加網絡防火牆規則控制;
(5)、LINUX 系統下Redis不要用Root用戶身份來啟動。Windows系統下不要以system權限運行
修復建議
(1)、斷網、備份重要的crontab,關閉或刪除定時任務:systemctl stop crontab或 rm -rf /etc/cron.d/*;
(2)、鎖定crontab中的惡意文件;
