通过redis挖矿
A. 鏀夸紒鏈烘瀯鐢ㄦ埛娉ㄦ剰锛佽爼铏鐥呮瘨Prometei姝e湪閽堝瑰眬鍩熺綉妯鍚戞笚閫忎紶鎾
璀︽儠锛佹斂浼佺綉缁滄柊濞佽儊锛歅rometei锠曡櫕鐥呮瘨妯琛
杩戞湡锛屼竴绉嶅悕涓篜rometei鐨勮爼铏鐥呮瘨鍦ㄥ叏鐞冭寖鍥村唴寮曡捣浜嗗箍娉涘叧娉ㄣ傚畠閫氳繃鎭舵剰鐨勬í鍚戞笚閫忔敾鍑绘墜娈碉紝瀵瑰眬鍩熺綉鍐呯殑缁堢璁惧囧彂璧峰叆渚碉紝璺ㄥ钩鍙拌倖铏愶紝瀵圭粍缁囨満鏋勭殑缃戠粶瀹夊叏鏋勬垚浜嗕弗閲嶅▉鑳併傜伀缁掑畨鍏ㄥ洟闃熷规よ〃绀轰簡楂樺害鍏虫敞锛屽苟寮虹儓寤鸿鏀夸紒鏈烘瀯鍔犲己瀹夊叏闃叉姢鍜屾帓鏌ヨ屽姩銆
Prometei鐥呮瘨鍏峰囨帴鏀舵寚浠ゆ墽琛屾伓鎰忚屼负鐨勮兘鍔涳紝濡傛寲鐭垮拰鏇存柊鐥呮瘨妯″潡锛岃繖涓嶄粎浼氭樉钁楀墛寮辩郴缁熺殑瀹夊叏鎬э紝杩樺彲鑳藉紩鍙戝栭儴鏀诲嚮銆傚畠鐨勪紶鎾绛栫暐鏋佸叾鐙$尵锛屽杽浜庡埄鐢ㄥ急鍙d护鍜岀郴缁熸紡娲烇紝渚嬪傝嚟鍚嶆槶钁楃殑姘告亽涔嬭摑婕忔礊锛屽瑰悓涓缃戞靛唴鐨勭粓绔杩涜屾倓鏃犲0鎭鐨勬笚閫忋
鐏缁掑畨鍏ㄥ洟闃熷凡缁忓崌绾т簡鏌ユ潃鍜岄槻鎶ゆ妧鏈锛屽寘鎷瀵硅繙绋嬬櫥褰曘佹í鍚戞笚閫忓拰Web鏈嶅姟鐨勪繚鎶わ紝浠ユ嫤鎴鐥呮瘨鐨勬墿鏁h矾寰勩傜梾姣掕繕閲囧彇浜嗗姞瀵嗗拰鍖垮悕閫氳鎵嬫碉紝浠ユ彁鍗囪嚜韬鐨勯殣钄芥э紝鏀鎸佸氱嶅悗闂ㄦ寚浠ゅ拰鍔熻兘锛屽炲姞浜嗛槻鑼冪殑澶嶆潅鎬с
娣卞害鍓栨瀽锛Prometei鍒╃敤浜嗚稿侻IWalk绛夊伐鍏凤紝閫氳繃鑾峰彇鐧诲綍鍑璇佽繘琛屾敾鍑汇傚畠鍒╃敤SMB銆乄MI銆丼QLServer銆丳ostgreSQL绛夋湇鍔¤繘琛屾毚鍔涚牬瑙o紝鍊熷姪棰勮惧拰鍔ㄦ佺敓鎴愮殑瀛楀吀锛屾彁楂樹簡鏀诲嚮鐨勬垚鍔熺巼銆傜梾姣掗氳繃PowerShell涓嬭浇涓绘ā鍧楋紝鍚屾椂鍒╃敤WMI鍜孲SH杩涜屾毚鐮翠紶鎾锛學indows绯荤粺鍒╃敤windrlver鍜宯ethelper妯″潡锛岀被Unix绯荤粺鍒欓氳繃curl绛夋墜娈靛圭洰鏍囪繘琛屾敾鍑汇
SQLServer鍜孭ostgreSQL鍚屾牱鎴愪负鐥呮瘨鐨勭洰鏍囷紝Windows绯荤粺浣跨敤PowerShell锛岃岀被Unix绯荤粺鍒欎緷璧栦簬curl銆傚煎緱娉ㄦ剰鐨勬槸锛孲MB鏆寸牬鍙鑳戒細鍒╃敤"姘告亽涔嬭摑"婕忔礊锛岃岀梾姣掑瑰悇绉嶆紡娲炵殑鍒╃敤鏄剧ず浜嗗叾鏀诲嚮鐨勫箍娉涙у拰鐏垫椿鎬с
鐥呮瘨涓鏃﹂氳繃Redis鏈鎺堟潈璁块棶婕忔礊鎴愬姛杩炴帴锛屽氨浼氫娇鐢╳get涓嬭浇鎭舵剰妯″潡骞舵墽琛屻傝孯edis鍜孉pache Log4j婕忔礊鐨勪紶鎾娑夊強RDP鍗忚銆佷富鏈哄悕鍔犲瘑浠ュ強bklocal妯″潡锛孡og4j婕忔礊鍒欓氳繃鏋勯犵壒瀹歎ser-Agent鍙戦乬et璇锋眰锛岃Е鍙戞紡娲炲埄鐢ㄣ
瀵逛簬绫籙nix绯荤粺锛岀梾姣掓牱鏈涓昏侀氳繃SMB銆丼SH鍜孯edis杩涜屾敾鍑伙紝涓嶹indows绯荤粺鐨勬敾鍑婚昏緫鐩镐豢銆傛牱鏈鏀鎸佺殑鍚庨棬鎸囦护涓板瘜澶氭牱锛屽叿浣撹︽儏璇峰弬闃呴檮褰曘傛牱鏈鐨勫搱甯屽煎皢鍦ㄥ悗缁鍐呭逛腑鎻愪緵锛屼互渚夸簬杩涗竴姝ヨ瘑鍒鍜岄槻鎶ゃ
闈㈠筆rometei锠曡櫕鐥呮瘨鐨勬寫鎴橈紝鏀夸紒鏈烘瀯鍔″繀鎻愰珮璀︽儠锛屽強鏃舵洿鏂板畨鍏ㄩ槻鎶ゆ帾鏂斤紝纭淇濈綉缁滅幆澧冪殑瀹夊叏绋冲畾銆傚悓鏃讹紝鎸佺画鍏虫敞鐏缁掑畨鍏ㄧ殑鏈鏂板姩鎬侊紝鑾峰彇鏈鏈夋晥鐨勫簲瀵圭瓥鐣ワ紝鍏卞悓鎶靛尽杩欏満缃戠粶瀹夊叏鐨勫▉鑳併
B. 云上挖矿大数据:黑客最钟爱门罗币
2018年区块链市场的跌宕起伏中,比特币的波动和安全问题日益显著,特别是针对云主机用户的非法挖矿威胁。云上非法挖矿主要分为基于文件和浏览器的两种形式,但基于浏览器的威胁在公有云环境中相对较小,主要威胁来自基于木马文件的入侵挖矿。
腾讯安全云鼎实验室在对抗云上挖矿木马的行动中,发现黑客频繁尝试入侵挖矿。在对云上入侵挖矿行为的统计分析中,实验室发现黑客入侵挖矿的目标币种以门罗币(XMR)、氪石币(XCN)和以利币(ETN)为主,这是因为这些币种如门罗币采用的CryptoNight算法,适合在CPU密集型的云主机上运行,且不易被追踪。
尽管门罗币价格下跌,黑客对挖矿的热情并未减退,特别是在公有云上,门罗币挖矿行为持续增长。黑客利用云主机的CPU资源进行挖矿,因为门罗币的匿名性,使得追踪黑客变得困难。
通过分析数字货币价格和挖矿热度的关系,发现挖矿热度与币种价值成正比,高价值的币种如门罗币因其持续价值不受此规律影响。针对云主机的CPU特性,黑客选择的挖矿币种多采用CryptoNight算法,直接利用CPU挖矿效率高。
黑客主要通过矿池挖矿,利用云主机的计算资源,如minexmr.com、minergate.com等矿池,成为黑客入侵挖矿的常见选择。国内自建矿池也受到黑客青睐。云鼎实验室建议用户通过检查异常端口和矿池访问,进行防护。
在入侵方式上,黑客利用通用安全漏洞进行批量入侵,如永恒之蓝、Redis未授权访问等。针对这些行为,用户需要提升安全意识,及时发现并修复漏洞,以防止黑客入侵挖矿。
C. 关于挖矿,你需要知道的一切
加密货币劫持,一种新兴的在线威胁,隐藏在服务器或PC设备上,利用设备资源秘密挖掘加密货币。挖矿攻击由于其盈利性,已成为最常见的网络威胁之一,可能成为网络世界的主要安全威胁。
加密货币是一种仅存在于网络世界的数字货币形式,没有实际物理形态。它们以分散的货币单位形式存在,允许网络参与者自由转移。与传统货币不同,加密货币不受特定政府或银行支持,没有政府监管或中央监管机构。它们的分散性和匿名性意味着没有监管机构决定货币流入市场的数量。大多数加密货币通过“挖矿”开始流通,实质上是将计算资源转变为加密货币。
挖矿行为是指在受害者不知情或未同意的情况下,秘密在其设备上挖掘加密货币。黑客通过感染常规计算机,利用其计算资源,窃取他人资源以牟取自身利益。挖矿攻击的危害严重,因为它会使计算机中央处理器(CPU)和图形处理器(GPU)在极高负载下运行,降低其他进程的运行速度,缩短系统的使用寿命,最终导致计算机崩溃。
发现和清除挖矿木马的方法包括:CPU使用率异常、响应速度缓慢、设备过热、冷却风扇长期高速运转等。服务器挖矿主要使用的入侵方式包括SSH弱口令、Redis未授权访问等常见方法。清除挖矿木马的步骤包括确定挖矿进程、挖矿进程所属用户、查看用户进程、清除挖矿木马等。
浏览器挖矿同样不可忽视,通常使用Windows Taskmanager或MacOs的Activity Monitor识别问题。如果进程与合法的Windows文件名称相同,更加难以找到罪魁祸首。可以通过Chrome内置的Chrome任务管理器,显示各个浏览器选项卡和扩展项的CPU使用情况,找到可能包含挖矿者的扩展程序。
青藤万相·主机自适应安全平台提供预防、识别和处置挖矿木马的最佳实践。资产清点帮助了解主机资产,入侵检测通过后门检测等功能实时发现挖矿等入侵行为。风险发现及时了解可能被用于挖矿的漏洞、弱密码等风险。安全日志全面复现黑客入侵行为,了解黑客如何进入系统、拿走什么、留下了什么。
面对挖矿木马的兴起,安全人员的责任重大。防范挖矿木马入侵是服务器管理员、PC用户时刻需要注意的重点。防御挖矿木马,任重而道远。