通過redis挖礦
A. 鏀誇紒鏈烘瀯鐢ㄦ埛娉ㄦ剰錛佽爼鉶鐥呮瘨Prometei姝e湪閽堝瑰矓鍩熺綉妯鍚戞笚閫忎紶鎾
璀︽儠錛佹斂浼佺綉緇滄柊濞佽儊錛歅rometei錩曡櫕鐥呮瘨妯琛
榪戞湡錛屼竴縐嶅悕涓篜rometei鐨勮爼鉶鐥呮瘨鍦ㄥ叏鐞冭寖鍥村唴寮曡搗浜嗗箍娉涘叧娉ㄣ傚畠閫氳繃鎮舵剰鐨勬í鍚戞笚閫忔敾鍑繪墜孌碉紝瀵瑰矓鍩熺綉鍐呯殑緇堢璁懼囧彂璧峰叆渚碉紝璺ㄥ鉤鍙拌倖鉶愶紝瀵圭粍緇囨満鏋勭殑緗戠粶瀹夊叏鏋勬垚浜嗕弗閲嶅▉鑳併傜伀緇掑畨鍏ㄥ洟闃熷規よ〃紺轟簡楂樺害鍏蟲敞錛屽苟寮虹儓寤鴻鏀誇紒鏈烘瀯鍔犲己瀹夊叏闃叉姢鍜屾帓鏌ヨ屽姩銆
Prometei鐥呮瘨鍏峰囨帴鏀舵寚浠ゆ墽琛屾伓鎰忚屼負鐨勮兘鍔涳紝濡傛寲鐭垮拰鏇存柊鐥呮瘨妯″潡錛岃繖涓嶄粎浼氭樉钁楀墛寮辯郴緇熺殑瀹夊叏鎬э紝榪樺彲鑳藉紩鍙戝栭儴鏀誨嚮銆傚畠鐨勪紶鎾絳栫暐鏋佸叾鐙$尵錛屽杽浜庡埄鐢ㄥ急鍙d護鍜岀郴緇熸紡媧烇紝渚嬪傝嚟鍚嶆槶钁楃殑姘告亽涔嬭摑婕忔礊錛屽瑰悓涓緗戞靛唴鐨勭粓絝榪涜屾倓鏃犲0鎮鐨勬笚閫忋
鐏緇掑畨鍏ㄥ洟闃熷凡緇忓崌綰т簡鏌ユ潃鍜岄槻鎶ゆ妧鏈錛屽寘鎷瀵硅繙紼嬬櫥褰曘佹í鍚戞笚閫忓拰Web鏈嶅姟鐨勪繚鎶わ紝浠ユ嫤鎴鐥呮瘨鐨勬墿鏁h礬寰勩傜棶姣掕繕閲囧彇浜嗗姞瀵嗗拰鍖垮悕閫氳鎵嬫碉紝浠ユ彁鍗囪嚜韜鐨勯殣钄芥э紝鏀鎸佸氱嶅悗闂ㄦ寚浠ゅ拰鍔熻兘錛屽炲姞浜嗛槻鑼冪殑澶嶆潅鎬с
娣卞害鍓栨瀽錛Prometei鍒╃敤浜嗚稿侻IWalk絳夊伐鍏鳳紝閫氳繃鑾峰彇鐧誨綍鍑璇佽繘琛屾敾鍑匯傚畠鍒╃敤SMB銆乄MI銆丼QLServer銆丳ostgreSQL絳夋湇鍔¤繘琛屾毚鍔涚牬瑙o紝鍊熷姪棰勮懼拰鍔ㄦ佺敓鎴愮殑瀛楀吀錛屾彁楂樹簡鏀誨嚮鐨勬垚鍔熺巼銆傜棶姣掗氳繃PowerShell涓嬭澆涓繪ā鍧楋紝鍚屾椂鍒╃敤WMI鍜孲SH榪涜屾毚鐮翠紶鎾錛學indows緋葷粺鍒╃敤windrlver鍜宯ethelper妯″潡錛岀被Unix緋葷粺鍒欓氳繃curl絳夋墜孌靛圭洰鏍囪繘琛屾敾鍑匯
SQLServer鍜孭ostgreSQL鍚屾牱鎴愪負鐥呮瘨鐨勭洰鏍囷紝Windows緋葷粺浣跨敤PowerShell錛岃岀被Unix緋葷粺鍒欎緷璧栦簬curl銆傚煎緱娉ㄦ剰鐨勬槸錛孲MB鏆寸牬鍙鑳戒細鍒╃敤"姘告亽涔嬭摑"婕忔礊錛岃岀棶姣掑瑰悇縐嶆紡媧炵殑鍒╃敤鏄劇ず浜嗗叾鏀誨嚮鐨勫箍娉涙у拰鐏墊椿鎬с
鐥呮瘨涓鏃﹂氳繃Redis鏈鎺堟潈璁塊棶婕忔礊鎴愬姛榪炴帴錛屽氨浼氫嬌鐢╳get涓嬭澆鎮舵剰妯″潡騫舵墽琛屻傝孯edis鍜孉pache Log4j婕忔礊鐨勪紶鎾娑夊強RDP鍗忚銆佷富鏈哄悕鍔犲瘑浠ュ強bklocal妯″潡錛孡og4j婕忔礊鍒欓氳繃鏋勯犵壒瀹歎ser-Agent鍙戦乬et璇鋒眰錛岃Е鍙戞紡媧炲埄鐢ㄣ
瀵逛簬綾籙nix緋葷粺錛岀棶姣掓牱鏈涓昏侀氳繃SMB銆丼SH鍜孯edis榪涜屾敾鍑伙紝涓嶹indows緋葷粺鐨勬敾鍑婚昏緫鐩鎬豢銆傛牱鏈鏀鎸佺殑鍚庨棬鎸囦護涓板瘜澶氭牱錛屽叿浣撹︽儏璇峰弬闃呴檮褰曘傛牱鏈鐨勫搱甯屽煎皢鍦ㄥ悗緇鍐呭逛腑鎻愪緵錛屼互渚誇簬榪涗竴姝ヨ瘑鍒鍜岄槻鎶ゃ
闈㈠筆rometei錩曡櫕鐥呮瘨鐨勬寫鎴橈紝鏀誇紒鏈烘瀯鍔″繀鎻愰珮璀︽儠錛屽強鏃舵洿鏂板畨鍏ㄩ槻鎶ゆ帾鏂斤紝紜淇濈綉緇滅幆澧冪殑瀹夊叏紼沖畾銆傚悓鏃訛紝鎸佺畫鍏蟲敞鐏緇掑畨鍏ㄧ殑鏈鏂板姩鎬侊紝鑾峰彇鏈鏈夋晥鐨勫簲瀵圭瓥鐣ワ紝鍏卞悓鎶靛盡榪欏満緗戠粶瀹夊叏鐨勫▉鑳併
B. 雲上挖礦大數據:黑客最鍾愛門羅幣
2018年區塊鏈市場的跌宕起伏中,比特幣的波動和安全問題日益顯著,特別是針對雲主機用戶的非法挖礦威脅。雲上非法挖礦主要分為基於文件和瀏覽器的兩種形式,但基於瀏覽器的威脅在公有雲環境中相對較小,主要威脅來自基於木馬文件的入侵挖礦。
騰訊安全雲鼎實驗室在對抗雲上挖礦木馬的行動中,發現黑客頻繁嘗試入侵挖礦。在對雲上入侵挖礦行為的統計分析中,實驗室發現黑客入侵挖礦的目標幣種以門羅幣(XMR)、氪石幣(XCN)和以利幣(ETN)為主,這是因為這些幣種如門羅幣採用的CryptoNight演算法,適合在CPU密集型的雲主機上運行,且不易被追蹤。
盡管門羅幣價格下跌,黑客對挖礦的熱情並未減退,特別是在公有雲上,門羅幣挖礦行為持續增長。黑客利用雲主機的CPU資源進行挖礦,因為門羅幣的匿名性,使得追蹤黑客變得困難。
通過分析數字貨幣價格和挖礦熱度的關系,發現挖礦熱度與幣種價值成正比,高價值的幣種如門羅幣因其持續價值不受此規律影響。針對雲主機的CPU特性,黑客選擇的挖礦幣種多採用CryptoNight演算法,直接利用CPU挖礦效率高。
黑客主要通過礦池挖礦,利用雲主機的計算資源,如minexmr.com、minergate.com等礦池,成為黑客入侵挖礦的常見選擇。國內自建礦池也受到黑客青睞。雲鼎實驗室建議用戶通過檢查異常埠和礦池訪問,進行防護。
在入侵方式上,黑客利用通用安全漏洞進行批量入侵,如永恆之藍、Redis未授權訪問等。針對這些行為,用戶需要提升安全意識,及時發現並修復漏洞,以防止黑客入侵挖礦。
C. 關於挖礦,你需要知道的一切
加密貨幣劫持,一種新興的在線威脅,隱藏在伺服器或PC設備上,利用設備資源秘密挖掘加密貨幣。挖礦攻擊由於其盈利性,已成為最常見的網路威脅之一,可能成為網路世界的主要安全威脅。
加密貨幣是一種僅存在於網路世界的數字貨幣形式,沒有實際物理形態。它們以分散的貨幣單位形式存在,允許網路參與者自由轉移。與傳統貨幣不同,加密貨幣不受特定政府或銀行支持,沒有政府監管或中央監管機構。它們的分散性和匿名性意味著沒有監管機構決定貨幣流入市場的數量。大多數加密貨幣通過「挖礦」開始流通,實質上是將計算資源轉變為加密貨幣。
挖礦行為是指在受害者不知情或未同意的情況下,秘密在其設備上挖掘加密貨幣。黑客通過感染常規計算機,利用其計算資源,竊取他人資源以牟取自身利益。挖礦攻擊的危害嚴重,因為它會使計算機中央處理器(CPU)和圖形處理器(GPU)在極高負載下運行,降低其他進程的運行速度,縮短系統的使用壽命,最終導致計算機崩潰。
發現和清除挖礦木馬的方法包括:CPU使用率異常、響應速度緩慢、設備過熱、冷卻風扇長期高速運轉等。伺服器挖礦主要使用的入侵方式包括SSH弱口令、Redis未授權訪問等常見方法。清除挖礦木馬的步驟包括確定挖礦進程、挖礦進程所屬用戶、查看用戶進程、清除挖礦木馬等。
瀏覽器挖礦同樣不可忽視,通常使用Windows Taskmanager或MacOs的Activity Monitor識別問題。如果進程與合法的Windows文件名稱相同,更加難以找到罪魁禍首。可以通過Chrome內置的Chrome任務管理器,顯示各個瀏覽器選項卡和擴展項的CPU使用情況,找到可能包含挖礦者的擴展程序。
青藤萬相·主機自適應安全平台提供預防、識別和處置挖礦木馬的最佳實踐。資產清點幫助了解主機資產,入侵檢測通過後門檢測等功能實時發現挖礦等入侵行為。風險發現及時了解可能被用於挖礦的漏洞、弱密碼等風險。安全日誌全面復現黑客入侵行為,了解黑客如何進入系統、拿走什麼、留下了什麼。
面對挖礦木馬的興起,安全人員的責任重大。防範挖礦木馬入侵是伺服器管理員、PC用戶時刻需要注意的重點。防禦挖礦木馬,任重而道遠。