日前,騰訊御見威脅情報中心通報了一起H2Miner黑產(chǎn)團伙利用SaltStack漏洞控制服務(wù)器挖礦的入侵案例�����。
據(jù)悉���,騰訊安全威脅情報中心于2020年05月03日檢測到H2Miner木馬利用SaltStack遠程命令執(zhí)行漏洞(CVE-2020-11651�����、CVE-2020-11652)入侵企業(yè)主機進行挖礦��。通過對木馬的核心腳本以及可執(zhí)行文件的對比分析�����,確認了此次攻擊行動屬于挖礦木馬家族H2Miner����。
據(jù)了解,H2Miner是一個linux下的挖礦僵尸網(wǎng)絡(luò)���,通過hadoop yarn未授權(quán)、docker未授權(quán)����、confluence RCE、thinkphp 5 RCE����、Redis未授權(quán)等多種手段進行入侵,下載惡意腳本及惡意程序進行挖礦牟利����,橫向掃描擴大攻擊面并維持C&C通信。
騰訊安全威脅情報中心大數(shù)據(jù)統(tǒng)計結(jié)果顯示���,H2Miner利用SaltStack漏洞的攻擊自5月3日開始�,目前呈快速增長趨勢�。H2Miner挖礦木馬運行時會嘗試卸載服務(wù)器的安全軟件���,清除服務(wù)器安裝的其他挖礦木馬,以獨占服務(wù)器資源�。目前,H2Miner黑產(chǎn)團伙通過控制服務(wù)器進行門羅幣挖礦已非法獲利超370萬元���。
Saltstack是基于python開發(fā)的一套C/S自動化運維工具�。近日��,SaltStack被爆存在認證繞過漏洞(CVE-2020-11651)和目錄遍歷漏洞(CVE-2020-11652)���,其中:
CVE-2020-11651:為認證繞過漏洞�����,攻擊者可構(gòu)造惡意請求�����,繞過Salt Master的驗證邏輯�,調(diào)用相關(guān)未授權(quán)函數(shù)功能��,達到遠程命令執(zhí)行目的��。
CVE-2020-11652:為目錄遍歷漏洞,攻擊者可構(gòu)造惡意請求�����,讀取服務(wù)器上任意文件�,獲取系統(tǒng)敏感信息信息。
快科技了解到��,此次入侵導(dǎo)致不少CDN平臺服務(wù)商平臺出現(xiàn)故障���,進而導(dǎo)致多家網(wǎng)站訪問受到影響。
騰訊安全專家建議企業(yè)采取以下措施強化服務(wù)器安全���,檢查并清除服務(wù)器是否被入侵安裝H2Miner挖礦木馬:
1��、將Salt Master默認監(jiān)聽端口(默認4505 和 4506)設(shè)置為禁止對公網(wǎng)開放�����,或僅對可信對象開放����。將SaltStack升級至安全版本以上��,升級前建議做好快照備份,設(shè)置SaltStack為自動更新��,及時獲取相應(yīng)補丁�����。
2�����、Redis 非必要情況不要暴露在公網(wǎng)�����,使用足夠強壯的Redis口令�。
3、參考以下步驟手動檢查并清除H2Miner挖礦木馬:
kill掉進程中包含salt-minions和salt-store文件的進程�,文件hash為a28ded80d7ab5c69d6ccde4602eef861、8ec3385e20d6d9a88bc95831783beaeb���;
刪除文件/tmp/salt-minions�、/tmp/salt-store��;
將惡意腳本服務(wù)器地址217.12.210.192�、206.189.92.32進行封禁���;
升級SaltStack到2019.2.4或3000.2,防止病毒再次入侵���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
