Linux Redis自动化挖矿感染蠕虫分析及安全建议 Secer's Blog - 记录互联网安全历程与个人成长经历

作者：Fooying@云鼎实验室
公众号：云鼎实验室

一、背景

自从Redis未授权问题获取Linux系统root权限的攻击方法的披露后，由于其易用性，利用该问题入侵Linux服务进行挖矿、扫描等的黑客行为一直层出不穷;而在众多利用该问题入侵服务器进行黑产行为的案例中，其中就存在一类利用该问题进行挖矿并且会利用pnscan自动扫描感染其他机器；该类攻击一直存在，不过在近期又呈现数量增加的趋势，在最近捕获到多次，我们针对其做下具体的分析。

二、漏洞说明

首先针对利用的漏洞做个说明，Redis 默认情况下，会绑定在 0.0.0.0:6379，在没有利用防火墙进行屏蔽的情况下，将会将Redis服务暴露到公网上，如果在没有开启认证的情况下，可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下利用Redis的相关方法，可以成功将自己的公钥写入目标服务器的 ~/.ssh 文件夹的authotrized_keys 文件中，进而可以直接登录目标服务器；如果Redis服务是以root权限启动，可以利用该问题直接获得服务器root权限。相关漏洞详情可以参考：https://www.seebug.org/vuldb/ssvid-89715

以下为漏洞利用演示（视频地址：https://v.qq.com/x/page/u0661b9o772.html）：

经过在ZoomEye和SHODAN检索，可以发现分别众多Redis服务开放在公网上，这些服务都可能成为攻击目标。

三、入侵分析

经过对捕获的事件进行分析，我们发现整个入侵流程大概是包含以下几个环节：

扫描开放6379端口的Linux服务器（后续感染扫描网段为1.0.0.0/16到224.255.0.0/16）
通过redis-cli尝试连接Redis并执行预置在.dat文件里的利用命令将Redis的数据文件修改为/var/spool/cron/root，然后通过在Redis中插入数据，将下载执行脚本的动作写入crontab任务
通过脚本实现以上的相关行为，完成植入并启动挖矿程序
再编译安装pnscan，继续扫描感染下一个目标

四、脚本分析

整个入侵利用以及后续的感染的实现，最主要的功能都是基于通过Redis问题写入crontab任务中下载执行的.cmd脚本（https://transfer.sh/MIpIA/tmp.9kIguIhkI7）来实现的，通过对它的分析，我们基本能够得到整个流程的所有细节，这是一个base脚本，我们通过解读来分析下它的相关功能。

这部分代码只要是用作重复执行的判断，将.mxff0文件作为标记文件，如果存在该文件则代表机器上已执行脚本，直接退出，否则写.mxff0文件并进行下一步动作；

设置预置动作，在脚本退出后删除相关文件和脚本自身；

这部分主要是修改系统的配置，开头两行为关闭SELINUX；然后清空/var/spool/cron，进而判断系统DNS服务器是否存在8.8.8.8，没有则添加；接着清空系统tmp目录和删除相关文件；同时清空系统缓存，而最后修改/etc/security/limits.conf来更新系统的资源限制；

这里再进一步的增加iptables限制6379端口只允许本地访问，同时kill相关包含挖矿、redis客户端、爬虫等进程，这里的目的也比较简单，避免被其他黑客再次入侵，同时清除可能其他黑客入侵启动的进程；

清除相关登录日志、命令操作历史；

这一长串的内容主要目的是下载并编译安装pnscan，从内容中我们可以看到对于不同操作系统的判断然后安装依赖的相关模块，然后才是从github下载pnscan的源码进行编译安装；至于为什么采用编译安装的形式，猜测是出于兼容不同系统以及每次编译生成的pnscan的MD5都不一样，避免形成固定特征；

这部分主要是下载挖矿程序并重命名为.gpg，增加执行权限，执行后删除，同时重新上传到https://transfer.sh/ 获取新的链接；

而这部分内容主要是生成新的.dat文件，包含将原来.cmd脚本里的里挖矿程序的下载地址替换为上一步上传到https://transfer.sh/得到的新地址，还有Redis利用的相关语句；

而步主要是调用pnscan去扫描子网段1.0.0.0/16到224.255.0.0/16中开放6379端口并且操作系统为Linux的目标，然后利用redis-cli执行.dat中的命令，进行下个目标的感染；这里pnscan的-W参数值'2a 31 0d 0a 24 34 0d 0a 69 6e 66 6f 0d 0a'转换后内容'*1\r\n$4\r\nINFO\r\n'，是向目标Redis服务发送请求获取Redis服务器的各种信息和统计数值，再通过-R参数值'6f 73 3a 4c 69 6e 75 78'(转换后内容为os:Linux)判断是否Linux系统。

最后就是收尾工作，清除相关日志和命令执行历史，同时在脚本退出的时候会触发脚本一开始用trap预置的动作，会做删除操作，删除相关文件和脚本自身（rm -rf m .cmd tmp. .r .dat $0）。通过对脚本的解读，我们基本已经清楚整个蠕虫的行为和入侵流程，也就是我们开始所描述的流程。

另外，通过阅读脚本，我们发现虽然整个入侵流程并不是多复杂，但脚本其实有很多“工程化”的细节考虑，不得不让人惊叹入侵者的“考虑周到”：

利用.mxff0文件做重复执行检验，避免脚本的重复执行

1.为了增加成功性，一些环境的预处理：

关闭SELINUX
增加8.8.8.8的DNS
清空tmp目录
清空系统缓存
修改系统资源限制

2.痕迹清除

利用trap预置动作好在脚本执行完成后删除相关文件和脚本自身
重复清除相关登录等日志和命令执行历史

3.同行预防

利用iptables避免Redis服务开放在公网上从而导致再次被入侵
清除同行可能遗留的入侵行为，kill相关进程

4.系统兼容性

判断操作系统，针对性的执行相关命令，安装依赖包，最大限度的提高pnscan编译安装的成功率
关闭SELINUX，通过setenforce和修改/etc/sysconfig/selinux两种手段实现
写入Crontab里的下载并执行脚本的任务，通过curl、wget、lynx三种方式实现
Pnscan扫描增加操作系统判断，减少没有必要的感染尝试

5.特征去除，存活延续

Pnscan采用安装编译的方式，既提高在不同系统下的兼容性，也避免形成固定的MD5特征
利用https://transfer.sh中转，每一次感染均生成新的连接，避免固定链接形成固定特征
下载到系统的相关文件均采用随机生成的文件名

正是由于入侵者种种的”考虑周到”使得他的入侵感染的成功率能够达到的一定的层度。

五、安全建议

病毒清理和系统恢复

我们主要参考脚本的相关行为进行对应的行为恢复和删除即可：

关闭SELINUX，根据系统原环境和业务需要重新开启SELINUX
清空了/var/spool/cron，根据原先备份清空恢复
修改/etc/resolv.conf增加DNS服务8.8.8.8，如无影响可不处理，或者删除
修改了系统资源限制(/etc/security/limits.conf)，可根据备份情况恢复
增加了对6379端口的Iptables规则，如果不影响业务，建议保留
Kill了相关进程，检查是否包含业务所需进程，根据情况恢复
安装了相关包，具体列表见上文，可根据情况删除或者如无影响可保留
编译安装了pnscan，可删除/usr/local/bin/pnscan
清除了相关日志和tmp目录，对系统无影响，可忽略
启动了挖矿进程和pnscan扫描感染，进程：.gpg、pnscan，直接kill

还包含了一些中间文件，虽然脚本包含相关删除操作，但建议还是全局查找确认：

.mxff0、.x112、.gpg、.dat、.cmd、.r.xx.xx.o/l、tmp.xxxx

Redis服务加固

导致入侵的主要原因是Redis未授权访问问题，所以如果要扼制入侵的入口，需要针对Redis服务进行加固，避免黑客通过该途径进行入侵植入挖矿蠕虫。
如无必要，修改bind项，不要将Redis绑定在0.0.0.0上，避免Redis服务开放在外网，可以通过iptables或者腾讯云用户可以通过安全组限制访问来源
在不影响业务的情况，不要以root启动Redis服务，同时建议修改默认的6379端口，大部分针对Redis未授权问题的入侵都是针对默认端口进行的
配置AUTH，增加密码校验，这样即使开放在公网上，如果非弱口令的情况，黑客也无法访问Redis服务进行相关操作
使用rename-command CONFIG "RENAME_CONFIG"重命名相关命令，这样黑客即使在连接上未授权问题的Redis服务，在不知道命令的情况下只能获取相关数据，而无法进一步利用

其他建议