找回密碼
 立即注冊
發布
  • QQ空間
  • 回復
  • 收藏

記一次被挖礦的經歷

2019-12-6 18:21


作者:哲洛

來源:公眾號java一日一條

某某云產品,在之前雙十一的時候做活動,沒忍住,就買了兩臺,本著不浪費的原則,在上面搭了一套elastic search的環境,本地起kibana連接服務器上的ES,感覺還不錯,其中也經歷了幾個坑,插播兩個小知識點:





服務器監聽127.0.0.1和監聽0.0.0.0有什么區別?如果應用監聽在127.0.0.1只能本機客戶端可以訪問,外網不能訪問,跟localhost是一樣的。如果應用監聽在0.0.0.0上,外網是可以訪問的。

linux下的telnet -ano 和lsof -i:port有什么區別?telnet無權限控制,lsof有權限控制,只能看到本用戶




我們接著說被挖礦的事情,今天打開ES,習慣性去看系統日志,真讓我發現了一些奇怪的地方,我這臺ES是沒有任何連接的,日志中卻報了很多的錯誤



記一次被挖礦的經歷

很有意思哈,通過jvm的反射機制獲取網絡上的腳本:http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh,通過這個連接地址我們就能發現這是一個linux下的執行腳本,大概給大家截一下腳本的內容哈,如果大家想細看,可以用這個鏈接去下載。



記一次被挖礦的經歷

看看這個腳本的險惡用心,chmod 777,這是一點情面不留啊


挖礦腳本出現在ES日志中,第一想法就是有黑客利用了ES中的漏洞。在網上也看到了一些相同遭遇的帖子,這個情況在今年6月13日被安天蜜網暴露出來,是有人利用CVE-2015-1427(ElasticSearch Groovy)遠程命令執行漏洞的攻擊行為。

以下是一部分網絡原文:




從攻擊載荷來看,攻擊者通過groovy作為腳本語言,向_search?pretty頁面發送一段帶有惡意鏈接為http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh的json腳本,進行惡意shell腳本下載,從而實現遠程代碼攻擊,并進行挖礦行為

記一次被挖礦的經歷

圖 2-1 數據包內容


解密后核心代碼:

記一次被挖礦的經歷




大概的步驟為:

1.攻擊者通過http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh下載并執行惡意腳本init.sh來植入Dog挖礦程序,同時對主機進行掃描等一系列操作。




2.之后執行關閉防火墻、關閉selinux并釋放占用的資源、殺掉其他與挖礦相關的進程、設置定時任務(每30分鐘下載一次可執行文件update.sh),獲取ssh權限,進行iptables規則轉發修改,同時清理相關操作歷史、日志等操作。




在此過程中,腳本會檢查sysupdate、networkservice 和sysguard這3個進程是否啟動,如果沒有則進行啟動。




3.攻擊分成挖礦、掃描、函數調用三個進程進行調度,利用三個進程:sysguard、networkservice(掃描)和sysupdate。




大家可以點擊原文鏈接查看

安天蜜網捕獲“利用ElasticSearch Groovy漏洞進行門羅幣(Dog)挖礦”事件分析




說一下我的解決方式,我的解決方式比較粗暴,主要是我的服務器沒有連接,沒有使用者,里面的內容我備份之后,就可以做升級了,然后把數據再搞進去就行。我升到了最新的ES版本,大家可以關注一下自己的服務器是不是也遇到了跟我一樣的問題。




另外這種情況一般都是出現在開放服務器默認端口給外部的時候,我建議如果非要開放的話 就不要用默認的端口了,什么9200,9300等等,改了端口至少可以減少被挖礦的概率。




其實上面的腳本大家可以下載下來看看哈,可以本著學習的心態去看一下人家腳本嘛,不要做違法亂紀的事情哦~

添加新手交流群:幣種分析、每日早晚盤分析

添加虎哥微信,一對一親自指導:hugelunbi15

文章點評
相關新聞
安徽11选五开奖走势图 一定牛 江西时时彩三星直选 股票推荐分成 广西快乐十分是合法吗 十一选五走势图 秒速赛车开奖统一吗 重庆时时计划免费 云南快乐10分开奖号码 配资好吗到佳永配资不错 北京 期货配资 内蒙古快3最大遗漏提示