黑客利用ElasticSearch Groovy漏洞挖矿
责声明">
1、概述2019年6月13日,安天蜜网捕获到利用CVE-2015-1427(ElasticSearch Groovy)远程命令执行漏洞的攻击行为。该漏洞原理是Elaticsearch将groovy作为…
1概述 在2019每年6月12日,Antian Honeynet应用CVE-2014年-1427(ElasticSearch Groovy)远程命令推行漏洞捕获了攻击。漏洞是Elaticsearch应用groovy作为编程语言,并应用应用领域征信黑名单的沙盒游戏体系来限制风险的代码执行,但该体系不足苛刻,无法避开,造成远程操作代码执行。
Antian对恶性事件进行了详细的样版分析,并明确指出了防止和修复建议。
2,称样分析 3.2临界攻击负载 从攻击负载,黑客攻击应用groovy作为编程语言将蓄意连接.Com://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh的json脚本制作发送到_search?漂亮网站页面以进行蓄意shell脚本制作免费下载地址。编号攻击和挖掘道德行为 图2-1数据文件类容 破解后的关键编号: 图2-2关键编号 4.3称样分析 1)入侵脚本制作分析 - init.sh
黑客攻击根据.Com://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh免费下载地址并推行蓄意脚本制作init.sh,以置入狗挖掘流程并扫描机网络服务器进行一个一个操作过程。
图2-3关闭防火墙 紧接着推行关闭防火墙,关闭selinux并释放出占据的资源,干掉其他与挖掘有关的系统进程,设置计划任务(每40分钟免费下载地址多次可执行文件update.sh),获得ssh管理员权限,并修改iptables标准。一起,消除有关的操作过程历史时间表,系统日志和其他操作过程。
图2-4检查并杀毒其他目前挖掘步骤 图2-5设置计划任务 图2-6蓄意脚本制作下载地址,备份数据具体地址和尺寸设置
图2-7消除有关系统日志和历史记录 在此过程中,脚本制作会检查sysupdate,networkservice和sysguard3个系统进程是否已启动,要不是,则启动。
图2-8干掉至少1个后,重新启动计划方案文本文档。 2)模版分析 - sysguard,networkservice,sysupdate
这3个样版用Go語言编写,共用UPX装袋。相对的main_main涵数结构得出:
图2-9 sysguard-main_main涵数结构
图2-12 networkservice-main_main涵数结构 图2-12 sysupdate-main涵数
根据与先前捕获的systemctI案例进行比较,攻击分为3个过程:挖掘,扫描机和函数调用。在计算机服务案例中找到有关的漏洞利用和扫描机作用。 图2-13计算机服务扫描机作用 根据比较先前捕获的样版发现2次攻击相仿,但攻击是由sysguard,networkservice(scan)和sysupdate推行的。这也意味着在云端服务器被感柒后一起干掉这3个系统进程。 3)配置文件 - config.json
在免费下载地址的配置文件中,人们发现了很多矿池具体地址: 表2-1媒矿清单 图2-12配置文件 3.受伤害的服务和漏洞 表3-1受伤害的服务和漏洞 4,IOC 表4-1攻击iP 表4-2 网页地址 表4-3 MD5 5,防止和修复建议 防止建议
a)保证操作系统和手机应用程序立即免费下载地址并升级行政部门出具的最新动态补丁下载;
b)禁止应用弱密码登陆密码;
c)维护保养云端服务器发现异常,例如Cpu耐受力高固态盘和固态盘发现异常;
d)安装智能终端威胁安全防范商品 - Antian Zhijia智能终端防御系统。
Antian Zhijia智能终端防御系统能够为您自设独有的安全系数基线漂移,以建立安全系数的Intranet地理环境。一起,文件安全维护作用,病毒性感染层面的选点清理作用,及其中国电脑操作系统的安全系数维护作用都更强。处理您的安全风险,维护您的云端服务器。 检修建议:
a)断了移动数据,备份数据关键的crontab,关闭或删除计划任务:systemctl stop crontab或rm -rf /etc/cron.d/*;
b)锁定crontab中的蓄意文本文档;
c)查寻并干掉病毒性感染系统进程:一起干掉sysguard,networkservice,sysupdate3个系统进程;
d)删除病毒性感染有关文本文档;
e)确定有误后,重新启动云端服务器,安装漏洞补丁,并应用Antiy Zhijia智能终端防御系统来避免和维护服务器安全。
- 发表于 2019-06-27 08:00
- 阅读 ( 5762 )
- 分类:黑客接单
你可能感兴趣的文章
- 西安破获虚拟货币被盗案件,共涉及6亿元人民币 2526 浏览
- Hing所有WAF与块传输 2308 浏览
- Ryuk勒索病毒更新,俄罗斯黑客团伙幕后开发运营 1931 浏览
- FBI针对HTTPS网络钓鱼发布警告 1641 浏览
- Kippo:一个强大的SSH蜜罐工具 1711 浏览
相关问题
0 条评论
请先 登录 后评论
