记一次被挖矿的经历

阅读本文大概需要 4分钟。

   某某云产品,在之前双十一的时候做活动,没忍住,就买了两台,本着不浪费的原则,在上面搭了一套elastic search的环境,本地起kibana连接服务器上的ES,感觉还不错,其中也经历了几个坑,插播两个小知识点:

服务器监听127.0.0.1和监听0.0.0.0有什么区别?如果应用监听在127.0.0.1只能本机客户端可以访问,外网不能访问,跟localhost是一样的。如果应用监听在0.0.0.0上,外网是可以访问的。

linux下的telnet -ano 和lsof -i:port有什么区别?telnet无权限控制,lsof有权限控制,只能看到本用户

我们接着说被挖矿的事情,今天打开ES,习惯性去看系统日志,真让我发现了一些奇怪的地方,我这台ES是没有任何连接的,日志中却报了很多的错误

记一次被挖矿的经历_第1张图片

很有意思哈,通过jvm的反射机制获取网络上的脚本:http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh,通过这个连接地址我们就能发现这是一个linux下的执行脚本,大概给大家截一下脚本的内容哈,如果大家想细看,可以用这个链接去下载。

记一次被挖矿的经历_第2张图片

看看这个脚本的险恶用心,chmod 777,这是一点情面不留啊

挖矿脚本出现在ES日志中,第一想法就是有黑客利用了ES中的漏洞。在网上也看到了一些相同遭遇的帖子,这个情况在今年6月13日被安天蜜网暴露出来,是有人利用CVE-2015-1427(ElasticSearch Groovy)远程命令执行漏洞的攻击行为。

以下是一部分网络原文:

从攻击载荷来看,攻击者通过groovy作为脚本语言,向_search?pretty页面发送一段带有恶意链接为http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh的json脚本,进行恶意shell脚本下载,从而实现远程代码攻击,并进行挖矿行为

记一次被挖矿的经历_第3张图片

图 2-1 数据包内容

解密后核心代码:

大概的步骤为:

1.攻击者通过http://185.181.10.234/E5DB0E07C3D7BE80V520/init.sh下载并执行恶意脚本init.sh来植入Dog挖矿程序,同时对主机进行扫描等一系列操作。

2.之后执行关闭防火墙、关闭selinux并释放占用的资源、杀掉其他与挖矿相关的进程、设置定时任务(每30分钟下载一次可执行文件update.sh),获取ssh权限,进行iptables规则转发修改,同时清理相关操作历史、日志等操作。

在此过程中,脚本会检查sysupdate、networkservice 和sysguard这3个进程是否启动,如果没有则进行启动。

3.攻击分成挖矿、扫描、函数调用三个进程进行调度,利用三个进程:sysguard、networkservice(扫描)和sysupdate。

大家可以点击原文链接查看 

安天蜜网捕获“利用ElasticSearch Groovy漏洞进行门罗币(Dog)挖矿”事件分析

说一下我的解决方式,我的解决方式比较粗暴,主要是我的服务器没有连接,没有使用者,里面的内容我备份之后,就可以做升级了,然后把数据再搞进去就行。我升到了最新的ES版本,大家可以关注一下自己的服务器是不是也遇到了跟我一样的问题。

另外这种情况一般都是出现在开放服务器默认端口给外部的时候,我建议如果非要开放的话 就不要用默认的端口了,什么9200,9300等等,改了端口至少可以减少被挖矿的概率。

其实上面的脚本大家可以下载下来看看哈,可以本着学习的心态去看一下人家脚本嘛,不要做违法乱纪的事情哦~

Java一日一条

ID:mjx_java

喜欢文章,点个在看 

你可能感兴趣的:(记一次被挖矿的经历)