日前，騰訊御見威脅情報中心通報了一起 H2Miner 黑產(chǎn)團(tuán)伙利用 SaltStack 漏洞控制服務(wù)器挖礦的入侵案例。

　　據(jù)悉，騰訊安全威脅情報中心于 2020 年 05 月 03 日檢測到 H2Miner 木馬利用 SaltStack 遠(yuǎn)程命令執(zhí)行漏洞（CVE-2020-11651、CVE-2020-11652）入侵企業(yè)主機(jī)進(jìn)行挖礦。通過對木馬的核心腳本以及可執(zhí)行文件的對比分析，確認(rèn)了此次攻擊行動屬于挖礦木馬家族 H2Miner。

　　據(jù)了解，H2Miner 是一個 linux 下的挖礦僵尸網(wǎng)絡(luò)，通過 hadoop yarn 未授權(quán)、docker 未授權(quán)、confluence RCE、thinkphp 5 RCE、Redis 未授權(quán)等多種手段進(jìn)行入侵，下載惡意腳本及惡意程序進(jìn)行挖礦牟利，橫向掃描擴(kuò)大攻擊面并維持C&C通信。

　　騰訊安全威脅情報中心大數(shù)據(jù)統(tǒng)計結(jié)果顯示，H2Miner 利用 SaltStack 漏洞的攻擊自 5 月 3 日開始，目前呈快速增長趨勢。H2Miner 挖礦木馬運行時會嘗試卸載服務(wù)器的安全軟件，清除服務(wù)器安裝的其他挖礦木馬，以獨占服務(wù)器資源。目前，H2Miner 黑產(chǎn)團(tuán)伙通過控制服務(wù)器進(jìn)行門羅幣挖礦已非法獲利超 370 萬元。

　　Saltstack 是基于 python 開發(fā)的一套C/S自動化運維工具。近日，SaltStack 被爆存在認(rèn)證繞過漏洞（CVE-2020-11651）和目錄遍歷漏洞（CVE-2020-11652），其中：

　　CVE-2020-11651：為認(rèn)證繞過漏洞，攻擊者可構(gòu)造惡意請求，繞過 Salt Master 的驗證邏輯，調(diào)用相關(guān)未授權(quán)函數(shù)功能，達(dá)到遠(yuǎn)程命令執(zhí)行目的。

　　CVE-2020-11652：為目錄遍歷漏洞，攻擊者可構(gòu)造惡意請求，讀取服務(wù)器上任意文件，獲取系統(tǒng)敏感信息信息。

　　快科技了解到，此次入侵導(dǎo)致不少 CDN 平臺服務(wù)商平臺出現(xiàn)故障，進(jìn)而導(dǎo)致多家網(wǎng)站訪問受到影響。

　　騰訊安全專家建議企業(yè)采取以下措施強(qiáng)化服務(wù)器安全，檢查并清除服務(wù)器是否被入侵安裝 H2Miner 挖礦木馬：

　　1、將 Salt Master 默認(rèn)監(jiān)聽端口（默認(rèn) 4505 和 4506）設(shè)置為禁止對公網(wǎng)開放，或僅對可信對象開放。將 SaltStack 升級至安全版本以上，升級前建議做好快照備份，設(shè)置 SaltStack 為自動更新，及時獲取相應(yīng)補(bǔ)丁。

　　2、Redis 非必要情況不要暴露在公網(wǎng)，使用足夠強(qiáng)壯的 Redis 口令。

　　3、參考以下步驟手動檢查并清除 H2Miner 挖礦木馬：

　　kill 掉進(jìn)程中包含 salt-minions 和 salt-store 文件的進(jìn)程，文件 hash 為 a28ded80d7ab5c69d6ccde4602eef861、8ec3385e20d6d9a88bc95831783beaeb；

　　刪除文件/tmp/salt-minions、/tmp/salt-store；

　　將惡意腳本服務(wù)器地址 217.12.210.192、206.189.92.32 進(jìn)行封禁；

　　升級 SaltStack 到 2019.2.4 或 3000.2，防止病毒再次入侵。

總結(jié)

以上是生活随笔為你收集整理的“挖矿僵尸”利用SaltStack漏洞入侵服务器：多家企业中招、已获利370万的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。