I.Giriş
Son zamanlarda, Tencent Security Yunding Lab, çok sayıda ana bilgisayarın güvenliğinin ihlal edildiğini tespit etti ve "vusr_dx $" adlı gizli bir hesap ekledi; aynı zamanda, Yunding Lab, ilgili hesaplar uzaktan oturum açarken bu tür hesapların çok sayıda oluşturulduğunu da izledi. Durum.
Windows hesap adının ardından "$" simgesi geldiğinde, hesap bilgileri net kullanıcı komutunda görüntülenmez. Bu, saldırganlar tarafından hesabı gizlemek için yaygın olarak kullanılan bir yöntemdir. Genellikle geliştiriciler bu tür bir hesabı eklemeyecektir. Yunding Lab, olayı takip edip analiz etti ve saldırganın izinsiz giriş yöntemlerini ve saldırıdan sonraki işlemlerini geri yükledi.
2. İstila tekniklerinin analizi
İstila edilen ve "vusr_dx $" gizli hesabını ekleyen tüm ana bilgisayarların analizi ve istatistikleri sayesinde, ana bilgisayarların çoğunun phpStudy bileşenini kurduğu, web dizininin phpinfo ve phpMyAdmin içerdiği ve MySQL kök kullanıcılarının% 50'sinin zayıf parolalara sahip olduğu bulundu. Buradan istilanın olası nedenlerini çıkarabiliriz:
Kullanıcı, PHP ortamını tek bir tıklama ile phpStudy aracılığıyla kendi bulut ana bilgisayarına dağıtır. Varsayılan olarak phpinfo ve phpMyAdmin içerir ve buna herkes erişebilir. Aynı anda kurulan MySQL'in varsayılan parolası zayıf bir paroladır, bu nedenle bilgisayar korsanı zayıf bir parola ile MySQL'de oturum açmak için phpMyAdmin'i kullanır ve ardından MySQL kullanır Sistem izinlerini almanın bazı yolları.
Sistem izinlerini almak için MySQL kullanmanın birkaç yaygın yolu vardır:
Saldırganlar bu iki yöntemi kullanabilir.Saldırganlar büyük miktarlarda ve sürekli olarak izinsiz giriş operasyonları gerçekleştirdiklerinden, saldırganların saldırmak için komut dosyaları kullanmaları gerektiği sonucuna varılabilir.
Daha fazla analiz ve inceleme sonucunda, saldırganın saldırı yönteminin nihayet zayıf bir MySQL parolasıyla oturum açacağı, general_log'u Web dizinindeki koyun.php dosyasını gösterecek şekilde değiştireceği ve ardından bir hesap oluşturmak için kabuğu kullanacağı tespit edildi. Aşağıdaki tablo, general_log içindeki zaman ile saldırganın saldırı yöntemini kanıtlayan hesap oluşturma zamanı arasındaki yazışmayı göstermektedir.
Saldırgan tarafından kullanılan SQL ifadesi aşağıdaki şekilde gösterilmektedir:
Saldırganın phpStudy'yi hedef aldığı görülebilir. PhpStudy tarafından kurulan MySQL parolası varsayılan olarak root / root olduğundan ve 3306 numaralı bağlantı noktası harici ağda açıldığından, güvenlik grubu ayarlanmamışsa veya güvenlik grubu tüm bağlantı noktalarına açıksa saldırılara karşı son derece savunmasızdır.
Saldırgan hesabı oluşturduktan sonra, madencilik Truva Atını C: \ ProgramData \ Zational \ Zational.exe (MD5: cb6f37e76dd233256f1c3303b4e99b1c) yoluna yükler ve çalıştırır. Bu dosya bir Monero madencilik programıdır ve Github adresi: https://github.com/xmrig/xmrig.
Üç, izinsiz giriş izlenebilirliği
Gizli hesabı oluşturduktan sonra, bilgisayar korsanı gizli hesap üzerinden oturum açacak ve madencilik programını yerleştirecektir.Tencent Cloud Mirror tarafından yakalanan "vusr_dx $" hesabının anormal oturum açma davranışı yoluyla, kaynak IP sınıflandırma istatistikleri elde edilir ve aşağıdakiler dahil 60'a yakın IP adresi elde edilir. Farklı IDC'lerin IP'leri ve Yancheng, Jiangsu'daki şüpheli hackerların bazı gerçek IP'leri:
Bilgisayar korsanları tarafından kontrol edilen bu piliç kümesinin bilgisayar korsanının gerçek IP'sini bile içerebileceğinden şüphelenilmektedir. Bu IP'lerin daha fazla bilgi toplanması ve analizi, "103.214. *. *" PhpMyAdmin'e sahip olduğunu ve MySQL'in de zayıf parolalara sahip olduğunu ve saldırganın Web'de olduğunu ortaya koymaktadır Dizinin altında bir arka kapı bırakıldı ve hemen saldırgan için bir sıçrama tahtası olduğu tahmin edildi. Daha fazla analizden sonra, bilgisayar korsanının arka kapı hesabının şifresi vusr_dx $: admin @ 6 ********.
Madencilik Truva Atının davranışının daha ayrıntılı analiz edilmesinden sonra, Truva atının gowel.top alan adıyla (IP: 202.168.150.44) proxy madenciliği havuzuna bağlanacağı bulundu.İlgili yapılandırma, özel bir madencilik havuzu kullanıcı jetonu veya kullanıcı adı belirtmediğinden, düşünülebilir. Bu özel bir madencilik havuzu adresidir.Aynı zamanda elde ettiğimiz madencilik Truva atı dosyaları ile hxxp: //gowel.top: 80 / 'in bir HFS olduğunu gördük.
Alan adı whois bilgileri, bilgisayar korsanının kendisi değil, alan adı kayıt şirketi olduğundan, kayıt sahibi bilgilerini whois aracılığıyla elde etmek imkansızdır.
Bilgisayar korsanı profil verilerini sorgulamak için anormal oturum açma kaynak IP'sini daha fazla incelemek ve sonunda ilgili bir QQ bilgisinin bir bilgisayar korsanı QQ olabileceği, QQ numarasının 12 ********* olduğunu, QQ numarasının bir arama motoru aracılığıyla aranması da QQ numarasını kanıtlayabilir Ev sahibi bazı olası hack işlemleri yapıyor:
İlgili QQ verilerini sorgulayın:
Dört, çözüm
Bu tür saldırılar için genel çözümler aşağıdaki gibidir:
1. Tencent Bulut konsolunda CVM'nin güvenlik grubunu ayarlayın Tüm bağlantı noktalarını kullanmamaya çalışın, ancak HTTP için varsayılan bağlantı noktası 80 ve RDP için varsayılan bağlantı noktası 3389 gibi harici ağ erişimine ihtiyaç duyan bağlantı noktalarını ayarlayın;
2. phpStudy'nin entegre ortamı için, MySQL parolası kurulumdan sonra güçlü bir parola ile değiştirilmelidir ve root / root veya root / 123456 gibi zayıf parolalar kullanmayın;
3. Tencent Cloud Mirror'ı yüklemeyi seçebilirsiniz. Cloud Mirror'ın ana bilgisayar güvenlik açığı algılama işlevi, Windows gizli hesap algılama ve MySQL zayıf parola algılama gibi güvenlik açığı algılamasını destekler. Bilgisayar korsanları tarafından yerleştirilen Web kabuğu algılamayı da destekler.
Beş, IOC
MD5: cb6f37e76dd233256f1c3303b4e99b1c
Havuz adresi: hxxp: //gowel.top: 11588
Yazar: Ding lab, yeniden basıldı: https: //bbs.ichunqiu.com/forum.php mod = viewthreadtid = 47215highlight =% E6% BA% AF% E6% BA% 90?