日前,腾讯御见要挟情报中心通报了一同H2Miner黑产团伙运用SaltStack缝隙操控服务器挖矿的侵略事例。
据悉,腾讯安全要挟情报中心于2020年05月03日检测到H2Miner木马运用SaltStack长途指令履行缝隙(CVE-2020-11651、CVE-2020-11652)侵略企业主机进行挖矿。通过对木马的中心脚本以及可履行文件的比照剖析,确认了此次进犯举动归于挖矿木马宗族H2Miner。
据了解,H2Miner是一个linux下的挖矿僵尸网络,通过hadoop yarn未授权、docker未授权、confluence RCE、thinkphp 5 RCE、Redis未授权等多种手段进行侵略,下载歹意脚本及歹意程序进行挖矿牟利,横向扫描扩展进犯面并保持C&C通讯。
腾讯安全要挟情报中心大数据统计成果为,H2Miner运用SaltStack缝隙的进犯自5月3日开端,现在呈快速增长趋势。H2Miner挖矿木马运转时会测验卸载服务器的安全软件,铲除服务器装置的其他挖矿木马,以独占服务器资源。现在,H2Miner黑产团伙通过操控服务器进行门罗币挖矿已不合法获利超370万元。
CVE-2020-11651:为认证绕过缝隙,进犯者可结构歹意恳求,绕过Salt Master的验证逻辑,调用相关未授权函数功用,到达长途指令履行意图。
CVE-2020-11652:为目录遍历缝隙,进犯者可结构歹意恳求,读取服务器就任意文件,获取体系灵敏信息信息。
快科技了解到,此次侵略导致不少CDN渠道服务商渠道产生毛病,从而导致多家网站拜访受到影响。
腾讯安全专业的人主张企业采纳以下办法强化服务器安全,查看并铲除服务器是否被侵略装置H2Miner挖矿木马:
1、将Salt Master默许监听端口(默许4505 和 4506)设置为制止对公网敞开,或仅对可信目标敞开。将SaltStack晋级至安全版别以上,晋级前主张做好快照备份,设置SaltStack为自动更新,及时获取相应补丁。
2、Redis 非必要状况不要暴露在公网,运用满足健壮的Redis口令。
