本帖最后由 腾讯电脑管家 于 2021-2-22 14:06 编辑
一、概述
腾讯安全威胁情报中心检测到春节期间H2Miner挖矿团伙异常活跃,该团伙利用多个漏洞武器攻击云上主机挖矿。H2Miner挖矿团伙攻击活跃,猜测其意图趁春节假期安全运维相对薄弱发起扩散。攻击者利用失陷主机挖矿,会大量消耗主机CPU资源,严重影响主机正常服务运行。
攻击者合并使用了多个漏洞攻击武器,除利用该团伙惯用的XXL-JOB未授权命令执行攻击之外,还使用了PHPUnit远程代码执行漏洞(CVE-2017-9841)、Supervisord远程命令执行漏洞(CVE-2017-11610)和ThinkPHP 5.X远程命令执行漏洞进行攻击扩散,最终投递名为kdevtmpfsi的XMR门罗币矿机组件挖矿牟利。
腾讯安全专家表示,自比特币市价屡创新高以来,比特币、门罗币、以太坊币、狗狗币等虚拟加密币市场空前活跃,大量挖矿木马团伙正跃跃欲试,腾讯安全专家提醒政企用户注意防范。
排查&加固文件: /etc/kinsing /tmp/kinsing /var/tmp/kinsing /dev/shm/kinsing /etc/kdevtmpfsi /tmp/kdevtmpfsi /var/tmp/kdevtmpfsi /dev/shm/kdevtmpfsi /etc/libsystem.so
进程: kinsing kdevtmpfsi
计划任务: 195.3.146.118相关计划任务
预加载配置: 排查清理/etc/ld.so.preload内恶意预加载配置项
加固: 升级PHPUnit 到5.6.2以上版本; 升级supervisor到最新版本; 升级ThinkPHP到最新版本;
针对H2Miner挖矿木马的攻击流程,腾讯安全全系列产品可以在各个环节实施分层防御拦截。
完整响应清单如下:
二、技术分析PHPUnit 是 PHP 程式语言中最常见的单元测试 (unit testing) 框架,通常phpunit使用composer非常流行的PHP依赖管理器进行部署,将会在当前目录创建一个vendor文件夹。phpunit生产环境中仍然安装了它,如果该编写器模块存在于Web可访问目录,则存在远程代码执行漏洞。
腾讯云防火墙检测到攻击者利用PHPUnit远程代码执行漏洞(CVE-2017-9841)进行攻击:
Supervisord是一款由Python语言开发,用于管理后台应用(服务)的工具,方便运维人员使用图形化界面进行管理。
腾讯云防火墙检测到攻击者利用Supervisord远程命令执行漏洞(CVE-2017-11610)进行攻击:
ThinkPHP官方2018年12月发布了重要安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞。
腾讯云防火墙检测到攻击者利用ThinkPHP 5.X远程命令执行漏洞进行攻击
攻击者在漏洞利用入侵成功后,会进一步投递其控制的资产(194.38.20.199)下名为sup.sh、p.sh、t.sh的恶意脚本。脚本执行后会尝试卸载安全软件,同时拉取后门kinsing模块到etc目录、释放kdevtmpfsi矿机模块到tmp目录执行,且将恶意脚本执行写入计划任务实现持久化。
xmr矿机运行后会占用大量CPU资源进行挖矿,主机正常业务会受到严重影响。
IOCsMD5: a44bbf766070f731cc7adfcd3db80e39 648effa354b3cbaad87b45f48d59c616 8c6681daba966addd295ad89bf5146af
URL: hxxp://194.38.20.199/t.sh hxxp://194.38.20.199/sup.sh hxxp://194.38.20.199/p.sh hxxp://195.3.146.118/t.sh
IP: 195.3.146.118 194.38.20.199
矿池: xmr.nanopool.org
参考资料:《腾讯云防火墙捕获H2Miner挖矿木马利用XXL-JOB未授权命令执行漏洞攻击云主机》 | 
发表于 2021-2-22 11:45:19
